Vulnhub-Kioptrix-1

这是群里大佬推荐我做的靶机之一。

这个靶机的作者说有多种方式可以拿到shell。

nmap扫描

路径探测

方法一(使用到了msf辅助模块,不推荐)

探测smb版本(就是这里用到了msf。。应该有其他方式也可以探测的。。

之后看了其他大佬的wirteup,我发现执行smbclient -L 192.168.40.156也会显示samba的版本信息的,但是在我这里却提示连接超时。。

发现是samba 2.2.1a,搜索exploit看看有没有可利用的程序。Samba < 2.2.8 (Linux/BSD) - Remote Code Execution

将现成的exploit编译好并执行,就已经是root用户了。

这个方式,没有任何难度。唯一缺点在于会使用到msf。要尽量避免自己用到msf才行。因为oscp只有一次使用msf的机会,机会宝贵,不能随便乱用。

方法二

利用目标服务器的openssl0.9.6b的漏洞。漏洞编号为CVE-2002-0656exp-db
下载好后是有多个文件的,如果编译报以下错误

将以下代码添加到exp代码的ssl2.h头文件中

1
2
#include <openssl/rc4.h>
#include <openssl/md5.h>

之后就编译通过了(在我虚拟机上成功了Centos7 内核3.10),之后执行编译出来的二进制文件就能获得apache用户的权限了。

获得apache用户的权限后,看了一圈suid和家用户,crontab好像都没有可以利用的。

去exp库中找找

因为系统内核是2.4.7所以我先选择了尝试利用ptrace/kmod这个漏洞CVE-2003-0127。下载源码后,直接在目标机器上编译运行。

总结

方法一用到msf,可能是我这里靶机的问题,也有可能是网络影响了。暂不清楚,我感觉是能不用msf的辅助模块就可以探测到版本的。。