Linux/OpenAdmin

Linux/OpenAdmin_第1张图片

Enumeration

nmap

用nmap扫描发现目标对外开放了22和80,端口详细信息如下

Linux/OpenAdmin_第2张图片

从nmap的结果看到,是apache的default page,使用工具跑一下目录,看了官 网文档的结果然后写个小字典节约时间,扫描结果如下

Linux/OpenAdmin_第3张图片

On the page at /music, there is a link that doesn't point to another link on / music, but rather an administration tool. What is the relative path? 这个问题引导应该是要去看/music页面的源代码,里面有一些其他的链接,应该 是/ona

Linux/OpenAdmin_第4张图片

Exploitation

OpenNetAdmin 18.1.1 Remote Code Execution

访问该链接后就看到了版本信息,可以回答第三个问题

Linux/OpenAdmin_第5张图片

提示了版本信息,并且知道该版本是一个很久的版本,所以先去搜搜有没有什 么现成的漏洞,然后发现有现成的rce,将利用脚本镜像到工作目录

Linux/OpenAdmin_第6张图片

查看脚本发现利用xajaxargs参数来注入命令,输入服务的url

利用脚本搞了很久都没成功,查看别人写的文章才发现,是因为没有在url的最后加/

试了两三个命令去链接kali机,但都没有成功,引导的题目让填写用户,将 www-data填写提交后问jimmy的密码,有可能这个就是关键 但是脚本得到的shell并不能利用,因为脚本只是读取命令然后输出结果,然后无限循环,尝试直接利用脚本中关键的指令来反弹shell,先尝试执行id,发现成功了

┌──(kali㉿kali)-[~/vegetable/openadmin]
└─$ curl --silent -d

"xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxar gs[]=ip%3D%3E;id&xajaxargs[]=ping" http://10.10.10.171/ona/

...[snip]...

uid=33(www-data)
gid=33(www-data) groups=33(www-data)

...[snip]...

然后替换id为反弹shell的指令

提前在kali中开启监听,回车后即可得到一个www-data shell

Linux/OpenAdmin_第7张图片

Lateral Movement

jimmy

按照刚才的提示,现在应该去寻找jimmy的密码,最终在 database_settings.inc.php中找到了数据库的用户名密码

Linux/OpenAdmin_第8张图片

考虑可能重复使用密码,很幸运,利用该密码成功登录jimmy

可以去到其他地方

Linux/OpenAdmin_第9张图片

joanna

index.php显示了一个登录页面,其中还有hash

main.php显示如下,疑似登录后会返回joanna的密钥

Linux/OpenAdmin_第10张图片

进一步发现在本地监听了一个52846端口,有可能和刚才的网站有关系

Linux/OpenAdmin_第11张图片

刚刚的index.php中还得到了一个hash,先尝试破解该hash值

Linux/OpenAdmin_第12张图片

使用命令创建远程ssh隧道,将会把目标的52946端口转发到kali的8888端口

现在就可以使用jimmy/Revealed登录该网站

Linux/OpenAdmin_第13张图片

登陆之后,按照代码中描写,将得到joanna的ssh密钥

Linux/OpenAdmin_第14张图片

然后使用ssh2john生成hash,john来破解

Linux/OpenAdmin_第15张图片

利用rsa密钥登录joanna,然后可以拿到user的flag

ssh -i rsa [email protected]

Privilege Escalation

发现可以免密使用root权限执行以下命令

恰巧nano可以用来提权

Linux/OpenAdmin_第16张图片

执行命令sudo -u root /bin/nano /opt/priv

使用nano打开后,nano允许使用快捷方式插入文件,按ctrl + R后再次按ctrl + X 执行系统命令,然后执行上图中最后一行的命令即可

Linux/OpenAdmin_第17张图片

你可能感兴趣的:(网络安全,web安全)