靶机地址:https://www.vulnhub.com/entry/vulnos-2,147/
靶机难度:初级(CTF)
靶机描述:VulnOS是打包为虚拟映像的一系列易受攻击的操作系统,以增强渗透测试技能
这是版本2-
体积更小,更少混乱!
由于时间并不总是在我身边,因此花了很长时间创建另一个VulnOS。但是我喜欢创建它们。该映像是使用VBOX构建的。解压缩文件并将其添加到虚拟化软件中。
目标:得到root权限&找到flag.txt
作者:嗯嗯呐
信息收集
nmap 扫描靶机IP
nmap 扫描端口
22 SSH
80 HTTP
667 ngircd(一款多平台上可使用的IRC守护程序)
访问22端口,没有获得什么提示
访问80端口
访问连接,在Documentation模块发现提示(文字是黑色的,真坑)
web渗透
访问连接找到一个登陆窗口
使用的是opendocman系统
OpenDocMan 是一个全功能的DMS文档管理系统,遵循 ISO 17025/IEC 标准。提供自动化安装脚本、自定义主题、插件、check in/out,分部门访问控制,文件调整,细粒度用户访问控制,强大的搜索功能。提供中文支持。
searchsploit OpenDocMan 1.2.7
查询发现有可以利用的漏洞
有两个漏洞:一个sql注入,一个OpenDocMan中访问控制不当
构造sql注入的连接
http://192.168.56.105/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,version%28%29,3,4,5,6,7,8,9
发现可以查到数据版本,接下来通过sqlmap自动化脚本跑一下吧
也发现Add_value参数存在sql注入
找到了账号密码
getshell
应该是md5加密
B78aae356709f8c31118ea613980954b 解密:webmin1980
084e0343a0486ff05530df6c705c8bb4 解密:guest
使用webmin用户ssh登录
linux 3.13.0查一下内核提权,发现有个可以提权的exp
将exp上传到靶机
gcc编译一下
执行,提权成功,获得root权限,获得flag
完成!!!
总结
这个靶机较为简单,搞得我还有点不适应…… 上面只是一种思路,仅供参考。本章渗透思路如下图: