##Nmap信息收集

---存活主機(jī)探測

---全端口掃描，存在22,80,6677端口（IRC服務(wù)器）

----IRC是Inter Relay chat的縮寫，是網(wǎng)絡(luò)上一種聊天的服務(wù)器。和普通的聊天方式相比，IRC聊天有著是速度快、功能多、支持多種命令等功能，因此IRC一直是網(wǎng)友快速聊天的最佳選擇

##Web信息收集

---訪問80

---查看前端源碼，發(fā)現(xiàn)jabc目錄

---dirb目錄掃描發(fā)現(xiàn) /javascript/jquery/ 目錄，但是這個目錄沒有權(quán)限訪問

---nikto掃描沒有發(fā)現(xiàn)什么有用的信息，/icons/README沒有看到有用信息

---AWVS掃描：發(fā)現(xiàn)存在2個高危漏洞以及 /jabc/ 目錄

---1）配置文件源碼公開：http://192.168.95.182/jabc/includes/database/database.inc

---2）Drupal 遠(yuǎn)程代碼執(zhí)行 (SA-CORE-2018-002)：http://192.168.95.182/jabc/

---訪問/jabc/，在文檔目錄的前端沒有信息，但是這里存在前端隱藏

---使用鼠標(biāo)拖動，發(fā)現(xiàn)一個敏感的文件目錄：/jabcd0cs/

---訪問這個登陸界面，弱口令打不通

---還發(fā)現(xiàn)一個OpenDocMan v1.2.7

---可以使用AWVS掃描這個路徑/jabcd0cs/，發(fā)現(xiàn)只存在XSS（可以盜取管理員Cookie）

---先查看OpenDocMan 1.2.7是否存在漏洞

---OpenDocMan 是一個全功能的DMS文檔管理系統(tǒng),遵循 ISO 17025/IEC 標(biāo)準(zhǔn)。提供自動化安裝腳本、自定義主題、插件、check in/out,分部門訪問控制,文件調(diào)整,細(xì)粒度用戶訪問控制,強(qiáng)大的搜索功能

---查看翻譯后的exp,存在2個exploit

---1)SQL注入(CVE-2014-1945)：/ajax_udf.php下的GET參數(shù)add_value

---2)不當(dāng)訪問控制（CVE-2014-1946)：為當(dāng)前用戶分配管理員權(quán)限

---先嘗試第一個exp,但是沒有像視頻里面一樣回顯

---沒有回顯的話，只能使用延時注入

---嘗試SQLmap一把梭

---檢測級別，共有1~5共5級，默認(rèn)為1，檢測級別不僅會影響 payload 的使用，還會影響注入點(diǎn)的檢測（GET 和 POST 參數(shù)是一直會被檢測的），以下是檢測級別的特殊檢測項：level >= 2時會檢測cookie是否有注入

• level >= 3時會檢測User-Agent和Referer是否有注入

• level >= 5時會檢測Host是否存在注入漏洞

• level設(shè)置還會影響union注入時檢測的列數(shù)等

---risk 參數(shù)用于設(shè)置 SQL 注入檢測的風(fēng)險級別，影響工具在檢測注入時使用的測試和技術(shù)的深度和侵入性。risk 參數(shù)的取值范圍從 1 到 3，其中：

• --risk=1：低風(fēng)險級別。工具使用較輕量級的測試和技術(shù)來檢測注入漏洞，減少對目標(biāo)應(yīng)用程序的影響和負(fù)載。這個級別適用于敏感度較低的環(huán)境，以減少誤報和錯誤。

• --risk=2：中等風(fēng)險級別。這是默認(rèn)的風(fēng)險級別。工具使用中等程度的測試和技術(shù)來檢測注入漏洞，提供了較為全面的測試覆蓋，但仍然盡量避免對目標(biāo)應(yīng)用程序的過度干擾（添加了基于時間的注入測試）

• --risk=3：高風(fēng)險級別。工具使用更深入和侵入性的測試和技術(shù)來檢測注入漏洞，可能會對目標(biāo)應(yīng)用程序產(chǎn)生更大的負(fù)載和影響。這個級別適用于對安全性要求較高的環(huán)境，但需要注意可能引起的干擾（加了 OR ，若注入點(diǎn)是在 UPDATE 語句中，使用 OR 測試可能會修改整個表的數(shù)據(jù)）

---發(fā)現(xiàn)存在SQL注入漏洞，這里存在PhpMyAdmin(但是URL不能訪問)

---爆表

---jabcd0cs數(shù)據(jù)庫存在如下表

---爆字段

---如下

---爆字段的內(nèi)容

---內(nèi)容如下，主要存在2個用戶:webmin和guest

---對數(shù)據(jù)庫密碼進(jìn)行解密，密碼分別是：webmin1980和guest（可以嘗試SSH登陸）

---查看當(dāng)前用戶

---發(fā)現(xiàn)是本地的root用戶

---查看當(dāng)前用戶是否具有root權(quán)限

---發(fā)現(xiàn)是root權(quán)限

---這里搜集到一些用戶：debian-sys-maint、drupal7、phpmyadmin以及密碼toor

---嘗試直接--os-shell,但是失敗了

##Hydra爆破SSH

---將webmin、guest、debian-sys-maint、drupal7、phpmyadmin寫入username.txt

---webmin1980、guest、toor寫入password.txt

---采用HyDra爆破SSH

---采用Python切換pty

---先查看bash的歷史記錄

---這里發(fā)現(xiàn)一個紅色的：post.tar.gz文件（提權(quán)可能會用得到）

---查看操作系統(tǒng)和版本信息，是X86架構(gòu)的

---Kail開啟8081端口，然后靶機(jī)下載linpeas.sh、linux-exploit-suggester.sh

---PS:可以使用linux-exploit-suggester.sh、searchexploit、谷歌搜索exploit-db、CVE-2021-4034通殺漏洞、進(jìn)行系統(tǒng)提權(quán)

---注意：盡量不要使用臟牛提權(quán)（修改root的密碼），會破壞系統(tǒng)的平衡

---在linpeas.sh里面存在系統(tǒng)漏洞，但是sudo版本>1.8.3和1.8.4不存在版本漏洞

---這里MySQL是mysql用戶允許，不存在UDF提權(quán)

---這里也可以 ps -aux | grep mysql | grep root 查看Mysql的權(quán)限

---本地還是開啟了3306端口和5432端口（postgresql）

---1000以上的用戶還存在一個，但是都不具有SUDO權(quán)限

---也不一定嗎，如果獲取到vulnosadmin用戶的密碼，可以Sudo -l查看和獲取其它信息

---這里是MySQL的密碼：root/toor

---suid的文件都是常規(guī)系統(tǒng)目錄的，且其它用戶只能執(zhí)行權(quán)限

---Web的目錄

---驗證一下MYsql還真不是root

---計劃任務(wù)沒有什么可以寫入的

---搜索一些除了/var目錄下是否存在計劃任務(wù)，沒有什么收獲

---看來這個除了系統(tǒng)漏洞提權(quán)，沒有太多別的方法

##post.tar.gz文件分析

---將文件從靶機(jī)通過python傳輸?shù)絎indows上分析

---里面是Hydra的源碼，這里因該是提示我們暴力破解，但是MYSQL不是root權(quán)限允許

---前面的端口除了3306的MYSQL，還開啟了5432的PostgreSQL

---這里PostgreSQL的版本是9.3.11

---進(jìn)程存在POSTGres但是不是root權(quán)限運(yùn)行，我們可以嘗試進(jìn)行信息收集

---但是靶機(jī)的5432只在靶機(jī)本地開啟了，我們需要進(jìn)行端口轉(zhuǎn)發(fā)

----將5432端口，轉(zhuǎn)發(fā)到Kail上（SSH進(jìn)行端口轉(zhuǎn)發(fā)）

---告訴SSH在本地主機(jī)上（KALL）監(jiān)聽端口 5432，并將所有流量轉(zhuǎn)發(fā)到遠(yuǎn)程靶機(jī)（即 localhost，因為連接到了遠(yuǎn)程靶機(jī)上）的端口 5432

---通常用于在本地主機(jī)上創(chuàng)建一個代理，將本地的端口與遠(yuǎn)程主機(jī)的端口連接起來

---關(guān)于PostgreSQL的爆破用戶名和密碼破解

---方法1：Hydra破解

---/usr/share/wordlists/metasploit/路徑下存在默認(rèn)用戶名和密碼的爆破字典，但是這個密碼太少了，不適用

---在視頻里面字典路徑是這個，兩個內(nèi)容是一模一樣的

/usr/share/metasploit-framework/data/wordlists/postgres_default_user.txt

---利用Hydra進(jìn)行指定端口的爆破

----s PORT 指定默認(rèn)端口；

---這里發(fā)現(xiàn)用戶名和密碼均為：postgres

---方法2：MSF爆破

---搜索：postgres_login的模塊（輔助/掃描儀/postgres/postgres_login）

---設(shè)置RHOST的IP，然后爆破出密碼

---在靶機(jī)嘗試登陸，發(fā)現(xiàn)授權(quán)失敗

---pg_dumpall用來提取我們可以訪問的所有數(shù)據(jù)庫：

---pg_dumpall 是將一個 PostgreSQL 數(shù)據(jù)庫集群全部轉(zhuǎn)儲到一個腳本文件中，可以備份所

有數(shù)據(jù)庫，并且備份角色、表空間

• PGPASSWORD="postgres": 這是一個環(huán)境變量設(shè)置，它將 PostgreSQL 數(shù)據(jù)庫的密碼設(shè)置為 "postgres"。這是為了在后續(xù)的命令中自動提供密碼，以避免在命令行中明文輸入密碼。

• pg_dumpall: 這是一個 PostgreSQL 提供的命令行工具，用于將整個 PostgreSQL 數(shù)據(jù)庫集群的數(shù)據(jù)導(dǎo)出為 SQL 格式的文件。

• -U postgres: 這指定了要連接的數(shù)據(jù)庫用戶，這里是 "postgres" 用戶。這個用戶將被用于連接數(shù)據(jù)庫并執(zhí)行導(dǎo)出操作。

• -h localhost: 這指定要連接的數(shù)據(jù)庫主機(jī)地址，這里是本地主機(jī)（即當(dāng)前計算機(jī)）。

• -p 5432: 這指定要連接的數(shù)據(jù)庫的端口號，這里是端口號 5432，這是 PostgreSQL 默認(rèn)的端口號

---這里發(fā)現(xiàn)一個用戶名和密碼

---vulnosadmin是SSH的另外一個賬戶，密碼是：c4nuh4ckm3tw1c3

---ssh登陸一下試試，我這里直接使用FinalShell連接

---用戶目錄存在r00t.blend文件，直接下載（blend文件是一個3D建模的軟件）

---一開始是一個立方體什么都看不到，但是通過調(diào)整，發(fā)現(xiàn)字符：ab12fg//drg

---說實話這個1和//根本區(qū)分不開，猜測是root的密碼

---嘗試su root登陸獲取flag

##OpenDocMan v1.2.7后臺漏洞分析

---使用webmin和webmin1980登陸OpenDocMan

---發(fā)現(xiàn)是一個類似于論壇的形式的網(wǎng)站

---存在一個文件上傳的點(diǎn)，上傳一個后門試試

---這里因該是對于上傳的文件MIME進(jìn)行個白名單限制

---但是是允許application/x-httpd-php上傳的，但是上傳不了

---Burp修改MIME再次上傳

---再次上傳還是失敗了

##Drupal 遠(yuǎn)程代碼執(zhí)行 (SA-CORE-2018-002)?? CVE-2018-7600

---在前面AWVS掃描出來一個Drupal 遠(yuǎn)程代碼執(zhí)行漏洞

---可以在谷歌搜索exp(但是exploit只存在POC)

---可以直接在Kail搜索Drupal Remote Code Execution

---發(fā)現(xiàn)一個rb腳本44449.rb

---打開exp查看（最重要的代碼是470行）

---執(zhí)行rb腳本可能報錯，需要執(zhí)行

---參考文章：https://github.com/dreadlocked/Drupalgeddon2/issues/55

---執(zhí)行./44449.rb http://192.168.95.182/jabc/獲取WebShell

---這個shell不穩(wěn)定需要使用bash或nc進(jìn)行反彈

##OpenDocMan 1.2.7 cms sql注入（CVE-2014-1945）

---在/jabcd0cs/ajax_udf.php文件的add_value=odm_user參數(shù)存在SQL注入

---通過find查看ajax_udf.php文件的位置

---這里發(fā)現(xiàn)注入點(diǎn)：$query = 'SELECT * FROM ' . $_GET["add_value"];

---也可以通過grep "關(guān)鍵字" 文件路徑 進(jìn)行搜索

##知識點(diǎn)總結(jié)

---1.Nmap信息收集（存活主機(jī)、全端口、版本、OS）

---2.前端源碼+dirb+nikto掃描分析敏感目錄文件/jabc

---3.AWVS掃描漏洞發(fā)現(xiàn)/jabc文件以及Drupal 遠(yuǎn)程代碼執(zhí)行、配置文件泄露漏洞

---4.seaechexploit Drupal remote Code Execution發(fā)現(xiàn)exp的rb代碼

---7.sudo gem install highline解決rb報錯問題，獲取WebShell

---8.在/jabc/目錄的網(wǎng)站發(fā)現(xiàn)隱藏文件路徑（管理員登陸）：/jabcd0cs/

---9./jabcd0cs/處發(fā)現(xiàn)OpenDocMan 1.2.7的CMS

---10.kail搜索OpenDocMan 1.2.7發(fā)現(xiàn)SQL注入漏洞（時間盲注、布爾盲注）

---11.SQLmap爆庫、爆表、爆字段、根據(jù)字段dump表的數(shù)據(jù)獲取用戶名和密碼

---12.SQLmap爆當(dāng)前的數(shù)據(jù)庫系統(tǒng)用戶和密碼，構(gòu)建爆破用戶名和密碼字典

---13.根據(jù)用戶名和字典登陸/jabcd0cs/后臺，發(fā)現(xiàn)文件上傳點(diǎn)檢測MIME白名單

---14.Burp修改MIME的類型,上傳PHP的一句話，但是提示失敗

---15.根據(jù)之前的用戶名和字典，Hydra爆破SSH登陸

---16.上傳linPeas.sh分析，存在系統(tǒng)漏洞、Mysql非Root用戶，/etc/passwd存在另外一個普通用戶，存在postgres數(shù)據(jù)庫（非root），用戶目錄存在post.tar.gz（-zxvf解壓里面是hydra提示爆破），nststate -ano查看發(fā)現(xiàn)本地開啟3306以及5432（postgres）但不對外開放

---17.通過SSH將靶機(jī)本地的5432端口，-L轉(zhuǎn)發(fā)到kail的5432端口

---18.hydra和MSF爆破5432端口，獲取postgres數(shù)據(jù)庫用戶名和密碼hydra -L /usr/share/metasploit-framework/data/wordlists/postgres_default_user.txt -P /usr/share/metasploit-framework/data/wordlists/postgres_default_user.txt -s 5432 127.0.0.1 postgres

---19.采用PGPASSWORD="postgres"指定密碼，pg_dumpall備份導(dǎo)出數(shù)據(jù)庫信息，獲取/etc/passwd的1000以后的另外一個用戶和密碼

---20ssh登陸vulnosadmin，在根目錄發(fā)現(xiàn)3D建模文件r00t.blend，blender工具打開發(fā)現(xiàn)root的密碼，ssh登陸獲取flag

---22.find查找OpenDocMan 1.2.7 cms的SQL注入URL的文件ajax_udf.php,grep搜索add_value注入點(diǎn)進(jìn)行審計

---23.系統(tǒng)漏洞提權(quán)：臟牛2提權(quán)的流程（謹(jǐn)慎使用）