黑客技能训练之攻破VulnOS 2

最近迷上了国外的一个CTF训练网站，里面有很多国外的黑客打包好的系统（VulnOS）给安全爱好者们练习黑客技能。

Website：https://www.vulnhub.com

VulnOS是人为打包的带漏洞的操作系统镜像，用来测试渗透技能。

VulnOS镜像下载地址：

http://download.vulnhub.com/vulnos/VulnOSv2.7z

下面就给大家提供write up

哈哈，首先用nmap探测信息。

然后我们发现了有端口开放，22、 80 、514、 6667、

爬行网站后发现后台：http://192.168.56.104/jabcd0cs/

根据后台，我们发现这个了这个国外cms的名称

我们到exploit-db搜索这个cms

https://www.exploit-db.com/exploits/32075/

发现有多个漏洞

1) SQLInjection in OpenDocMan: CVE-2014-1945

Thevulnerability exists due to insufficient validation of "add_value"HTTP GET parameter in "/ajax_udf.php" script. A remoteunauthenticated attacker can execute arbitrary SQL commands in application'sdatabase.

Theexploitation example below displays version of the MySQL server:

http://[host]/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,version%28%29,3,4,5,6,7,8,9

http://[host]/ajax_udf.php?q=1&add_value=odm_userUNION SELECT 1,version(),3,4,5,6,7,8,9

发现有一个sql 注入

根据他的exp我们直接在域名后面加入东西，发现没有：(

这里爆出了mysql的版本号。

那我们丢进去sqlmap跑就ok了。

这里就涉及到sqlmap的高级用法了。

多个参数如index.php?n_id=1&name=2&data=2020，我们想指定name参数进行注入

sqlmap -u “url” -p name

sqlmap.py -u “http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user”-p add_value -D jabcd0cs –dump

网站的数据量不打，直接dump数据库

用sqlmap自带的hash破解工具太慢了，只出来一个guest，忍不住用cmd5了

国外的好东西啊，cmd5不鸟我。

接下来用ssh搞他。

好了，提权了。

忘记自己在虚拟机，习惯性的w一下看看那有哪些用户在线。= =#

Uname –a 查看Linux的内核

来到这个网站：https://www.kernel-exploits.com/exploit/39/

找到了一个exp，其实也是这个里面的东西啦。

https://www.exploit-db.com/exploits/37292/

我用touch命令新建了一个文件，vi编辑，把exp复制进Linux里面。

然后gcc编译，然后加上执行权限，然后./exp执行。

哈哈，成功一套提权。嗯哼，喜欢小智，这个模仿了下。

这个据说要拿一个flag，好吧。

cat /root/flag.txt

搞到了，这个是一个不错的练习，你们也可以去下载试试哈~~~