Kioptix Level 3

最新推荐文章于 2025-02-06 20:48:25 发布
最新推荐文章于 2025-02-06 20:48:25 发布
阅读量1.3k 收藏 19
点赞数 29
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43433141/article/details/144433267
版权

免责声明:本教程作者及相关参与人员对于任何直接或间接使用本教程内容而导致的任何形式的损失或损害,包括但不限于数据丢失、系统损坏、个人隐私泄露或经济损失等,不承担任何责任。所有使用本教程内容的个人或组织应自行承担全部风险。

1.将靶机导入至vm中

首先将靶机的网络设置为nat模式,然后在kali中使用namp命令查找靶机ip

由此可知,靶机的ip为192.168.55.133

2.直接使用nmap扫描目标ip的端口,进行指纹识别、目录枚举、进入网站点击各功能点寻找信息

端口扫描

指纹识别

去网站首页看看

感觉没有什么东西,可以随便看看

Blog界面下点击Comments

存在一个框,但是没有测出来什么东西

点击这个now

出现一个图片没有解析的界面,但是超链接均可以点击,在页面相应的过程中均存kioptrix3.com的解析,随后跳转到别的页面

此时我们可以进行域名映射

windows中:去host添加域名解析的 ip

C:\Windows\System32\drivers\etc\host

Linux中:vim /etc/hosts 即可

更改好后发现网页正常

随后点击此处

选择id

点击图片后发现多了id这个参数。可以尝试进行sql注入

在图片id后面加入’页面报错,存在sql注入

首先进行爆列,可知数据库一共是6列

将表名注入出来,payload:?id=1 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()

下一步注入列名,payload:union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_name='gallarific_users'

爆数据,payload:union select 1,group_concat(username),group_concat(password),4,5,6 from dev_accounts--

由于爆出来的数据是32位,可以尝试使用md5进行解密

账号:dreg,loneferret

密码:Mast3r,starwars

两个账号均成功登陆

使用第二个账号进行登陆

sudo -l    显示出自己(执行 sudo 的使用者)的权限

/usr/local/bin/ht 是HT编辑器无需密码就有root权限

使用命令sudo /usr/local/bin/ht进入HT编辑器

按F3进行编辑文件

执行/etc/sudoers

在此处添加:/bin/bash

按F10保存并退出

运行:sudo /bin/bash进入root模式

方法2:

点击Login

发现使用的CMS信息

查找 LotusCMS的历史漏洞

由于第一个漏洞需要使用msf(oscp只能使用一次msf)所以尽量不要使用msf

第二个漏洞文件包含了多个漏洞的信息

此时我们可以去bing上搜索LotusCMS,来查看它的漏洞信息

复制下载地址,等等在kali中使用git clone命令进行下载

将exp下载到桌面上

此exp没有使用方法,所以直接使用./命令执行exp

执行exp

根据提示,此处填写靶机ip

使用exp进行反弹shell

先看一下靶机有没有python

靶机中有python

启动交互式终端:可以得到回显的信息

python -c 'import pty; pty.spawn("/bin/bash")'

使用三条命令查询系统信息:

uname -a

uname -mrs

lsb_release -a

find / -perm  -4000 -print 2>/dev/null

命令解释:

用于查找系统中所有设置了Set User ID (suid) 位的文件

若要搜索SGID则将4000改为2000

SUID和SGID的区别:

suid:

作用对象:suid主要作用于可执行文件。

权限变化:当一个设置了suid位的可执行文件被执行时,该文件将以文件所有者的身份运行。即无论谁来执行这个文件,他都有文件所有者的特权。如果文件所有者是root,那么执行人就有超级用户的特权。

sgid:

作用对象:sgid可以作用于可执行文件或目录。

权限变化:

对于可执行文件:当一个设置了sgid位的可执行文件被执行时,该文件将以文件所属组的身份运行。即执行该文件时,进程的组ID(GID)会被设置为文件所属组的GID。

对于目录:当一个目录设置了sgid位时,该目录下新创建的文件或目录将自动继承该目录的所属组。这意味着,无论哪个用户在该目录下创建文件或目录,这些新创建的文件或目录的组属性都会与目录的组属性相同。

注意到这里有sudo文件,可以进行提权,但是在本靶机中不知道该账号的密码,所以无法使用sudo提权

根据系统信息查找用于提取的历史漏洞:

searchsploit linux 2.6.2 | grep Privilege

根据版本确定只有这三个exp可以使用

注:若编译exp中出现如下-W开头的报错(函数当前版本不适用),可以使用-Wno参数继续编译

40839.c是可以使用的,以下是使用40839.c进行提权的操作

先将40839.c下载到桌面上

将40839.c进行编译,此时报错,我们可以查看exp,看看它的使用方式

将此处的dirty改为40839.c即可编译

kali开启监听,将exp下载到靶机中

靶机报错,此目录下没有写入的权限

返回上一级目录中发现tmp目录下可以进行下载操作

将编译好的exp下载到靶机发现不能执行,我们可以将40839.c下载到靶机内编译执行试试

此时让我们输入一个新的密码,输入123456

执行成功,可以使用用户名firefart密码123456进行登陆

可以在靶机中使用该用户名和密码进行登陆,该用户不是root用户,但是已经在root的用户组里面了,所以已经具有了root权限,提权成功

第二种提权方式:

使用ssh进行连接,发现ssh版本过低,不能使用

增加参数进行连接

ssh firefart@kioptrix3.com -o HostKeyAlgorithms=+ssh-rsa

提权成功

第三种提权方式:

重新进行反弹shell,使用su命令进行用户切换,提权成功

泷羽Sec-pp
关注
Kioptrix Level 3 靶机wp
m0_52496313的博客
08-14 451
Kioptrix Level 3 靶机wp
Vulnhub系列-Kioptrix-Level-3
Yasso的博客
12-19 1446
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
VulnHub靶机入门篇--kioptrix.level 3
2302_78903258的博客
07-29 1172
发现有一个login的登录框,可能存在sql注入漏洞,或者弱口令,并且发现这里有一个LotusCMS,网上查找一个信息,看看有没有相关的漏洞。这边可以看到URI为/lcms/但是我本地是没有这个路径的,所以我们这里需要设置下RHOSTS和URI。使用如下命令选择此 Auxiliary,或者使用命令。这里一直没有什么反应,可能是脚本的原因,用。哎,还是失败 ,查看原因,说使用Nat模式。使用msfconsole命令进入msf6。好像并没有什么用,只能看看80端口的服务。使用第14个的命令或者使用命令。
VulnHub——Kioptrix Level 3
江左盟的博客
05-28 3156
目录 简介 信息收集 漏洞检测与利用 权限提升 总结 简介 该靶机还是一如既往的简单,通过信息收集发现Web服务使用LotusCMS,使用Google搜索发现存在已知漏洞,通过漏洞利用脚本获得webshell,然后通过内核漏洞直接提升权限到root。 信息收集 探测目标主机IP地址,如图: 然后对目标主机进行快速端口扫描,发现开启22和80端口,OpenSSH版本4.7p1,Apache版本2.2.8,PHP版本5.2.4-2,操作系统可能为Debian或Ubuntu,内核版本为2.
Vulnhub靶机 kioptrix level 3
菜浪马废的博客
04-09 584
简介里说了 先要配置hosts 找靶机扫端口 80 22 登录界面 LotusCMS 搜漏洞 searchsploit Lotus 直接msf 设置RHOSTS、URI search lotus use exploit/multi/http/lcms_php_exec show options set RHOSTS 192.168.0.128 set URI / run ...
oscp备考,oscp系列——Kioptix Level 1~5靶场详解,附重新使用VMware克隆的下载地址,VMware可以直接打开使用
2202_75361164的博客
12-13 1384
oscp备考,oscp系列——Kioptix Level 1~5靶场详解,附重新使用VMware克隆的下载地址,VMware可以直接打开使用 下载地址: ``` https://pan.quark.cn/s/d290014bb3d8 ```
#渗透测试#vulnhub kioptix level 3靶机教程详解
m0_74786138的博客
12-14 1633
信息收集阶段,因为这里是靶机,所以不需要做什么,但是实际渗透测试中,大家一定要学会正确的隐藏自己的个人信息扫完ip后即可得到以下信息目标ip:192.168.108.137。
kioptix level 1靶场扫描没反应 已使用nat模式
最新发布
03-17
#### 3. 常见问题排查 | 问题类型 | 解决方案 | |---------|----------| | 防火墙拦截 | 靶机执行`service iptables stop`关闭防火墙 | | 服务未启动 | 检查`apache`状态:`service httpd status` | | ARP缓存问题 |...
渗透测试靶机---Kioptrix Level 3
久恙502的博客
07-19 424
渗透测试,打靶经历记录,大佬多多指点,谢谢!!
Kioptrix: Level 3靶机实战 lotu cms +sql注入 getshell ht编辑器有root权限,修改/etc/sudoers文件使当前用户具有root权限 提权
YouthBelief的博客
11-25 2766
Kioptrix: Level 3靶机实战前言0x01 信息收集1.1 探测靶机ip1.2 nmap探测端口1.3 目录遍历0x02 漏洞探测2.1 访问 80端口2.1.1 登录功能查看2.1.1.1cms漏洞搜索2.1.1.2 msf利用2.1.2 点击网页功能点2.1.2.1列数和回显点数据库数据表可能存在用户名密码的表的字段账号密码或者用sqlmap2.1.3 登录loneferret账号0x03 提权 前言 Kioptrix: Level 3 (#1): 靶机地址 https://www.vu
Kioptrix-3 ( 补漏 )
猎荒者
03-18 1008
淫漫则不能励精,险躁则不能治性。 上次目录扫描得到数据库登录界面和用户登录界面,普通的字典爆破思路不可取,所以接下来是通过挖掘 web 漏洞得到用户登录的账密。 在 /gallery 目录找到一个疑似 SQL 注入漏洞 使用 sqlmap 对目标 URL 进行漏扫 PS: 使用 sqlmap 之前现在 Kali 的 /etc/hosts 文件中添加进靶机 IP 和域名的映射,不然可能扫不出...
KIOPTRIX: LEVEL 3通关详解
arcuied
04-05 257
KIOPTRIX: LEVEL 3通关详解
Vulnhub系列:kioptrixVM3
Fuzz
08-10 2597
简介 Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台。 个人学习目的:1,方便学习更多类型漏洞。2,为OSCP做打基础。 下载链接 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ 运行环境 kali:192.168.44.128 靶机:192.168.44.134 相关知识点 0x00、信息收集 主机发现:nmap -sP 192.168.44.0/24 端口扫描:nmap -sS -sV 192.168.44.134 0
靶场之Kioptix Level 3
lga0325的博客
12-11 737
vulnhub KioptrixVM3 靶场练习&LotusCMS漏洞分析-优快云博客。
打靶日记Kioptix Level 3(脏牛提权)
2403_88668158的博客
02-06 1191
发现报错,若编译exp中出现如下-W开头的报错,可以添加-Wno参数继续编译,虽然会生成一个exp文件,但最后还是有问题。在kali开一个终端作为shell的接收端,并在exp里输入kali的ip和监听的端口,然后选择第一个“nc -e”将40839.c编译,发现报错,上面的40616.c还是可以编译成的,这个直接不能编译,cat进去看看。执行后可以看到示例,exp使用方法:./lotusRCE.sh ip,这里ip写靶机的ip。甚至有个视频教,视频很详细,直接克隆,要是访问不上就直接在主机下好拖进去。
类OCSP靶场-Kioptrix系列-Kioptrix Level 3
星海幻影的博客
12-18 1251
本文主要介绍了在渗透测试或网络安全攻防演练中,针对目标系统进行信息收集、漏洞挖掘以及提权过程的关键步骤。首先,文章概述了信息收集的几大重要环节,包括主机发现、端口扫描、目录爆破和敏感信息搜寻。通过这些手段,渗透测试者能够全面了解目标系统的网络拓扑、开放端口、目录结构以及潜在的安全隐患。 其次,文章深入讨论了根据服务版本信息搜索漏洞的过程。通过查找公开的漏洞利用代码(exp),并进行编译,渗透测试者能够测试并利用这些漏洞进行系统入侵。特别是如何查看并理解exp的使用方法,并加以利用,达到攻击目标系统的目的。
Vulnhub系列:Kioptix Level 1
Fuzz
07-30 1890
简介 Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台。 个人学习目的:1,方便学习更多类型漏洞。2,为0SCP做打基础。 下载链接 https://www.vulnhub.com/entry/kioptrix-level-1-1,22/ 运行环境 kali:192.168.44.128 靶机:NAT模式 特别说明:有的小伙伴在打开虚拟机后,无法获取到靶机IP地址 这里特别说明:修改“Kioptix Level 1.vmx”配置文件中ethernet0.networkN
Kioptrix: Level 1.3 (#4) (考点:脑洞/base64/上传/linux)
冬萍子癸水
04-20 443
如果是vmware。开始前要把靶机的mac地址设成08:00:27:A5:A6:76 然后靶机开机页面自动就显示ip地址了 nmap 就一个80,没啥说的,突破点就是网页搜集信息。不过这里都直接检测到linux的版本了。。又是2这么低的,一旦拿到shell。。。直接用脏牛啊。。脏牛用法参考这篇 C:\root\Desktop> nmap -A 192.168.189.186 Startin...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值