0X00情报收集

环境准备:VulnOS2

开启虚拟机,使用arp-scan扫描得到目标ip的地址。

root@kali:~# arp-scan 192.168.56.0/24

Interface: eth0, datalink type: EN10MB (Ethernet)

Starting arp-scan 1.9 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)

192.168.56.10a:00:27:00:00:0d(Unknown)

192.168.56.10008:00:27:1d:d9:73CADMUS COMPUTER SYSTEMS

192.168.56.10408:00:27:7c:ac:b1CADMUS COMPUTER SYSTEMS

3 packets received by filter, 0 packets dropped by kernel

Ending arp-scan 1.9: 256 hosts scanned in 2.277 seconds (112.43 hosts/sec). 3 responded

得到目标192.168.56.104。然后使用nmap扫描开开放的端口。

从扫描的结果来看，开放22、80端口。访问80端口，发现是一个网站。

随便翻翻目录发现没有什么可疑的东西。后看看网页源代码。我觉得玩ctf就是要看看源代码，有时候会有出乎意料的发现。

有个提示的目录，/jabcd0cs/ ，访问这个目录。发现是个openDocMan CMS。也可以使用鼠标选中之后才会出现隐藏的文本。

0x02漏洞发现

访问的后台登录界面。看看发现居然有版本号V1.2.7。可以推断得到OpenDocMan是一个cms。

然后看看有没有OpenDocMan的漏洞，百度一搜，果然有个OpenDocMan版本为1.2.7的SQL注入漏洞。

0x03漏洞利用

既然存在sql注入那么就使用大神器Sqlmap。这里我遇到一个坑，就是直接使用sqlmap加存在sql注入地址的网址。结果sqlmap居然煞笔了，不认识存在SQL注入。最后在存在SQL注入的网站后添加—level=2，sqlmap才跑出SQL注入。网上说填加—level=2 sqlmap就会对cookie等参数进行测试。

看看命令：

sqlmap -u "http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value --level=2

sqlmap -u "http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value --level=2 -D jabcd0cs -T odm_user –dump

得到用户名：Webmin ,密码：b78aae356709f8c31118ea613980954b。SOMD5还是依旧的强大。得到密码明文：webmin1980.

0x04攻陷主机

居然只是普通用户权限。没有查看root目录的权限。那么我们就来提权试试。

内核版本3.13.0-24

searchsploit linux 3.13，搜索版本号为3.13的exp。Searchsploit是exploit-db的搜索程序，没有的可以下载试试。

一般简单的exploit-db的exp都有使用方法。看看代码就知道如何使用。上传exp。

gcc 37292.c -o ofs

./ofs

然后查看权限。OK顺利提权。

大家理理思路。渗透测试重点的就是思路，思路正确，做渗透一点也不难。