文章总结： 本文是一篇关于KioptrixVM3靶机的渗透测试实战笔记。作者通过信息搜集发现目标使用LotusCMS，并利用其历史漏洞成功执行远程代码执行（RCE）以获取初始shell。随后，通过在网站目录中找到的配置文件泄露信息，成功登录MySQL数据库并破解用户密码。最终，利用loneferret用户权限和ht编辑器，修改/etc/sudoers文件实现了权限提升至root。 综合评分： 85 文章分类： 渗透测试,红队,WEB安全,实战经验,漏洞分析

跟着红队笔记打靶:KioptrixVM3

原创

网安热爱者week 网安热爱者week

week的杂货铺

2026年3月19日 18:53 江苏

靶场地址：https://www.vulnhub.com/entry/kioptrix-level-12-3,24/

#

大佬的视频：

【「红队笔记」靶机精讲：Kioptrix1.2 – LotusCMS公开漏洞利用，配置文件敏感信息枚举，mysql数据库信息搜集，使用john暴力破解md5哈希】https://www.bilibili.com/video/BV1Qs4y1L7BF?vd_source=3caf2dac9c9273de4d9b0fead4712250

1. 信息搜集：

1.1. 主机发现：

1.2. 端口扫描：

TCP：

UDP：

1.3. 详细扫描：

nmap自带脚本扫描：

1.4. 渗透测试：

扫目录可以扫到/gallery和phpmyadmin

whatweb:

发现是lotuscms

查一下历史漏洞：

没啥好的利用方式

其实这里用metasploit就行

然后github查了一下： https://github.com/Hood3dRob1n/LotusCMS-Exploit/blob/master/lotusRCE.sh 第一个就是这个

直接下载这个sh

chmod给个权限 然后运行

chmod +x  ./lotusRCE.sh./lotusRCE.sh 192.168.137.135 /

根据提示去填写东西就行。

这里选择第一个

可以成功拿到shell了

/etc/passwd

计划任务没东西

看一下home目录：

loneferret 下面有一个README 还有一个sh

README让我们用sudo ht

但是跑sudo要输密码

另一个sh太长了 看不太懂，暂时用不到

之前扫到了phpmyadmin看看有没有敏感文件：

config.inc.php没东西。。。

看一下这个cms的网站目录：

config文件可以看到mysql密码

登录是成功的：

可以拿到几个账密：

跑一下md5:

看一下之前的/etc/passwd

dreg是一个rbash 不太好

更期待的是可以登入 loneferret

而且他的下面有readme等文件。

使用 loneferret starwars登入成功

ssh  -oKexAlgorithms=+diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-rsa [email protected]

sudo -l:

直接sudo ht:

报错

运行这个 添加一个依赖

export TERM=xterm-color

就不会报错了

这里去查了下ht的用法： 这是一个启用了mysql支持的编辑器 一般是拿来操作数据库之类的。

按下F3 然后搜索/etc/sudoers

enter进入编辑页面：

直接改成ALL

F2进行保存。

成功root

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：week的杂货铺 网安热爱者week 网安热爱者week《跟着红队笔记打靶:KioptrixVM3》