oscp-vulnhub靶机记录-hack me please walkthrough_mr. m2021的博客-爱代码爱编程
机器地址:
https://www.vulnhub.com/entry/hack-me-please-1,731/
深入交流学习:webMsec
安装好靶机:
主机发现:
arp-scan -l
信息收集一波:
./nmapAutomator.sh -H 192.168.52.133 -t All
PORT STATE SERVICE
80/tcp open http
3306/tcp open mysql
33060/tcp open mysqlx
MAC Address: 00:0C:29:FA:2D:5B (VMware)
端口很普通,看看80
没找到什么功能点
dirsearch扫一下目录
结果不理想,只有js有可能有用
递归一下:
找到了main.js
看看有什么:
seeddms,搜一下知道,这是一个cms
下载源码看看,有没有收获:
非常明显的php站
登录文件也找到了:
按源码路径,顺利找到登录界面
这里提示我们不要暴力破解,我们看看源码里数据库配置信息:
默认账号密码是:
我们上靶机看看配置文件是什么:
192.168.52.133/seeddms51x/seeddms-5.1.22/conf/settings.xml
泄露了数据库账号密码,我们用navicat连一下:
连接成功
翻一翻库,看能不能找到账号密码:
tbluser表中有admin账户,密码是md5加密的
同时在user表翻到用户名saket和密码Saket@#¥1337
md5解密不成功,直接复写我们的md5(123456)
再回到登录界面,用admin 123456登录:
登录成功,翻一下,找到上传点:
同时我们用源码在本地搭建起来这个cms,可以得到上传路径:
192.168.52.133/seeddms51x/data/1048576/“document_id”/1.php
https://pentestmonkey.net/tools/web-shells/perl-reverse-shell
到这里下一个phpreverse的shell:
把shell里的ip和端口修改成攻击机的:
上传到cms
得到id:11
攻击机开启监听:
nc -nvlp 1234
访问shell:
192.168.52.133/seeddms51x/data/1048576/11/1.php
攻击端收到shell回弹
www-data 用户
查看有没有安装python,然后升级到交互式shell:
python3 -c 'import pty;pty.spawn("/bin/bash")'
得到了交互式shell
之前知道有个saket用户,看看/etc/passwd,这个用户有多大权限:
cat /etc/passwd
权限不错,切成saket,密码在前面的数据库已经拿到了:
再看看saket的权限:
All,简单了,直接sudo su
拿到root,完活。
主要考察:
信息收集、js信息泄露、简单代码阅读、本地搭建环境、文件上传、回弹shell、提权