Enumeration

nmap

用nmap扫描发现目标对外开放了22和80，端口详细信息如下

从nmap的结果看到，是apache的default page，使用工具跑一下目录，看了官 网文档的结果然后写个小字典节约时间，扫描结果如下

On the page at /music, there is a link that doesn't point to another link on / music, but rather an administration tool. What is the relative path? 这个问题引导应该是要去看/music页面的源代码，里面有一些其他的链接，应该 是/ona

Exploitation

OpenNetAdmin 18.1.1 Remote Code Execution

访问该链接后就看到了版本信息，可以回答第三个问题

提示了版本信息，并且知道该版本是一个很久的版本，所以先去搜搜有没有什 么现成的漏洞，然后发现有现成的rce，将利用脚本镜像到工作目录

查看脚本发现利用xajaxargs参数来注入命令，输入服务的url

利用脚本搞了很久都没成功，查看别人写的文章才发现，是因为没有在url的最后加/

试了两三个命令去链接kali机，但都没有成功，引导的题目让填写用户，将 www-data填写提交后问jimmy的密码，有可能这个就是关键 但是脚本得到的shell并不能利用，因为脚本只是读取命令然后输出结果，然后无限循环，尝试直接利用脚本中关键的指令来反弹shell，先尝试执行id，发现成功了

┌──(kali㉿kali)-[~/vegetable/openadmin]
└─$ curl --silent -d"xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxar gs[]=ip%3D%3E;id&xajaxargs[]=ping" http://10.10.10.171/ona/...[snip]...uid=33(www-data)
gid=33(www-data) groups=33(www-data)...[snip]...

然后替换id为反弹shell的指令

提前在kali中开启监听，回车后即可得到一个www-data shell

Lateral Movement

jimmy

按照刚才的提示，现在应该去寻找jimmy的密码，最终在 database_settings.inc.php中找到了数据库的用户名密码

考虑可能重复使用密码，很幸运，利用该密码成功登录jimmy

可以去到其他地方

joanna

index.php显示了一个登录页面，其中还有hash

main.php显示如下，疑似登录后会返回joanna的密钥

进一步发现在本地监听了一个52846端口，有可能和刚才的网站有关系

刚刚的index.php中还得到了一个hash，先尝试破解该hash值

使用命令创建远程ssh隧道，将会把目标的52946端口转发到kali的8888端口

现在就可以使用jimmy/Revealed登录该网站

登陆之后，按照代码中描写，将得到joanna的ssh密钥

然后使用ssh2john生成hash，john来破解

利用rsa密钥登录joanna，然后可以拿到user的flag

ssh -i rsa joanna@10.10.10.171

Privilege Escalation

发现可以免密使用root权限执行以下命令

恰巧nano可以用来提权

执行命令sudo -u root /bin/nano /opt/priv

使用nano打开后，nano允许使用快捷方式插入文件，按ctrl + R后再次按ctrl + X 执行系统命令，然后执行上图中最后一行的命令即可