老样子,kali ip:192.168.56.104,靶机ip利用nmap或arp-scan -l进行查看
![](https://i-blog.csdnimg.cn/blog_migrate/933949eb346af4b4e561ab2828cf3836.png)
靶机ip为:192.168.56.124,利用nmap进行端口探测
![](https://i-blog.csdnimg.cn/blog_migrate/3bd616ffc5b1bec22795c1edcd730668.png)
发现了22、80、6667端口,下一步就是进行web探测,输入靶机ip后发现页面存在个链接,其他没什么发现
![](https://i-blog.csdnimg.cn/blog_migrate/0bd34c76379fc743c7ab0edcc22b00e4.png)
点击链接后跳转到一个新的界面,看了半天也没什么信息,查看源码后发现,在Documentation处,隐藏着一些好东西!
![](https://i-blog.csdnimg.cn/blog_migrate/e6d8fe22d2472b3e4ac5cac4acd9908f.png)
![](https://i-blog.csdnimg.cn/blog_migrate/e1e375b62ef506b6bc354b6eb325a4fb.png)
你看看,真是有点gou!,同时发现了个目录名
![](https://i-blog.csdnimg.cn/blog_migrate/8b36db6a0563301ae3564af689b1f163.png)
输入后发现了一个登录窗口,框架为opendocman 1.2.7
![](https://i-blog.csdnimg.cn/blog_migrate/48aee7276496d5c2b535ae1e43cb7f79.png)
本地搜索一下,还真发现了个exp,下面的操作就是以前都有的,将exp复制到项目文件夹下
![](https://i-blog.csdnimg.cn/blog_migrate/24f8e9312eca0fa28e4332baa1f39320.png)
查看一下,该怎么利用,这边是一个sql注入的漏洞,利用给的实例
![](https://i-blog.csdnimg.cn/blog_migrate/dbef5f991980ba7108b91f50078eaf47.png)
发现了是联合查询注入,在2的地方存在注入点
![](https://i-blog.csdnimg.cn/blog_migrate/eb435f78462910e8bec811efac8b019a.png)
![](https://i-blog.csdnimg.cn/blog_migrate/2f1722f2e95afa267cc77e3998fdbbfc.png)
那就直接手注,构造payload,查看用户名和密码
![](https://i-blog.csdnimg.cn/blog_migrate/d3ab3d4d24a5dd8d63328fb1d98d8a5a.png)
http://192.168.56.124/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,username,3,4,5,6,7,8,9%20from%20odm_user
![](https://i-blog.csdnimg.cn/blog_migrate/edb0eff660ac3c0e353dc97813e07811.png)
![](https://i-blog.csdnimg.cn/blog_migrate/d45cb11f0ad21d7f62d4517671abef2f.png)
返现了两个密码,进行md5解密后得到了两个密码,将其写入一个文件备用
![](https://i-blog.csdnimg.cn/blog_migrate/788b4881583db87b11b0ca49ba621551.png)
尝试ssh登录,发现webmin登录成功
![](https://i-blog.csdnimg.cn/blog_migrate/34a540f9f4e1d9fd633075261f54ab1a.png)
利用python改变一个交互式shell,代码就不写了,以前的都有
然后就是提权了,利用sudo,发现不行,那就尝试linux内核提权,收集到信息为
Linux 3.13.0 ubuntu 14.04.4
![](https://i-blog.csdnimg.cn/blog_migrate/be85ead47eb687fa5263c964c735b4e8.png)
本地查找后发现了个醒目的红色,将其复制到项目文件夹中
![](https://i-blog.csdnimg.cn/blog_migrate/ef4fe568af14a82bd32367f91b46dc9b.png)
![](https://i-blog.csdnimg.cn/blog_migrate/3a99a2b82f9cf8480cb60ad15fee7ad0.png)
开启kali的web服务,在shell中进入/tmp文件夹下,下载该exp,然后利用gcc进行编译,并给编译后的exp授权,最后允许该exp,内核提权成功!
获取到了flag
![](https://i-blog.csdnimg.cn/blog_migrate/f021c3180e3f18d2cd7e84e8a8a658be.png)
![](https://i-blog.csdnimg.cn/blog_migrate/70d4c16dc1f4335eb3154679fe0b31c4.png)
本次Vulnhub的VulnOSv2靶机渗透就结束了,后续会继续更新Vulnhub更多的靶机!
每天学习一丢丢,进步一丢丢~