前期准備:
靶機地址:https://www.vulnhub.com/entry/hack-me-please-1,731/
kali攻擊機ip:192.168.11.129
靶機ip:192.168.11.197
一、信息收集
1.使用nmap對目標靶機進行掃描
發現開放的 80、3306和33060端口。
2. 80 端口
暫時沒發現信息或者提示,掃一下目錄:
/img, /css 和 /js 目錄下面還有東西,再掃一下:
在 /jc/main.js 文件中發現了信息:
應該是一個目錄,是 seeddms 5.1.10 系統(文檔管理系統),searchsploit seeddms 后發現有個 RCE 漏洞:
查看一下 47022.txt:
說可以上傳一個 shell,目錄在 example.com/data/1048576/"document_id"/1.php 。
先在 /seeddms51x/seeddms-5.1.22/ 這個目錄下掃一掃:
發現了很多頁面,訪問一下:
二、漏洞利用
1.獲取數據庫用戶名密碼
發現了登錄界面,沒有用戶名密碼也進不去,在網上查找之后,發現 seeddms 系統的配置目錄中有可利用信息,看能不能找到 /conf 目錄,最后在 /seeddms51x/ 目錄下找到了:
訪問一下:
無法訪問,意味着存在.htaccess限制目錄瀏覽的文件。我們可以從存儲庫中看到。
在大多數框架中,都有一個 settings.xml.template。此外 .htaccess 會顯示實際的設置文件。訪問一下 /settings.xml 文件:
發現了數據庫的用戶名和密碼,登錄數據庫:
2.獲取網站用戶名密碼
查看一下表:
發現了 tblUsers 表和 users 表,先查看一下 user 表:
應該不是網站存儲用戶名密碼的地方,那應該就是 tblUser 表,查看一下 tblUsers 表內信息:
密碼是加密的,那把密碼換一下:
然后成功登錄到系統:
3.上傳shell
查看系統內的頁面后,發現可以上傳文檔:
那就上傳一個 shell 文件:
用的是 https://www.revshells.com/ 中的 php pentestmonkey,訪問我們之前看漏洞文件是發現的目錄 example.com/data/1048576
/"document_id"/1.php 。並用 nc 監聽:
寫入交互式 shell:
可以升級一下shell。
三、提權
查看系統內的權限和文件:
查看家目錄是發現一個 saket 用戶,查看 /etc/passwd :
確實有這個用戶,之前在數據庫的 user 表中見過,密碼是 Saket@#$1337,切換成 saket 用戶:
切換成功,並且查看權限發現可以訪問所有內容,那就再切換成 root:
成功切換成 root。