Vulnhub 靶场 HACK ME PLEASE: 1

Vulnhub 靶场 HACK ME PLEASE: 1

一、前期准备

靶机下载地址：https://www.vulnhub.com/entry/hack-me-please-1,731/

攻击机kali地址：192.168.147.190

靶机地址:192.168.147.205

二、信息收集

1、扫描存活服务器



2、nmap查看开放端口。



发现开放的 80、3306和33060端口。

3、访问80



gobuster扫描目录看看。



发现目录下有img、css、js、fonts等目录。试试逐一扫一下。

css



img



js



在js下面的main.js有发现。



猜测是一个目录，是 seeddms 5.1.10 系统（文档管理系统）。

searchsploit seeddms   #发现有个 RCE 漏洞：

find查找文件，如果权限不够，用图中的命令。



可以看出分4步，首先要登陆上系统。上传一个webshell，根据第4步获取webshell。

尝试扫描/seeddms51x/seeddms-5.1.22/ ，发现很多目录，访问一下。



网上查看以后发现配置信息在conf目录下



扫描/seeddms51x/。



成功发现conf目录，尝试访问一下，发现访问不成功，可能做了配置。



直接访问sseeddms51x/conf/settings.xml.



发现隐藏密码，navicat登陆不成功(有成功的可以私信一下)，用命令登陆一下。



查表。



查users表和tbUsers表。



经尝试saket不是网站账号密码，我们继续看tbUsers表，admin密码是加密的，我们给他修改密码。



先对123456进行加密，在修改密码。



成功登陆系统后台。发现有个地方可以添加文档。



点击之后跳转到下图，点击添加本地文件，就成功上传。



刚登陆的那个页面右下角可以查看上传文件详情。



制作webshell用的是https://www.revshells.com/中的 php pentestmonkey，然后按照漏洞文件是发现的目录 example.com/data/1048576/"document_id"/1.php 。并用 nc 监听，拿到获取shell反弹。

python3写入交互式

三、提权

cat etc/passwd



有个saket用户，之前在数据库里看到过，密码是 Saket@#$1337，切换成 saket 用户：

sudo -l   #查看权限发现可以任何用户可以访问所有内容，那就再切换成root：sudo su