Hack_Me_Please 1靶机
信息收集
nmap
扫描出来80和3306端口,全端口扫描又得到了一个33060端口
- 使用目录扫描工具
dirsearch
得到几个目录
- 尝试进行
mysql
免密码登录尝试失败
web渗透
- web界面没有什么可以利用的地方,也没有其他目录,查看源代码发现了一些css和js文件,发现一个
main.js
,这里藏有隐藏内容的可能性最大,之前也有遇到过
- 在文件中发现了一个可疑的目录
- 访问该目录发现是一个登录框,标注着
seedDMS
,尝试搜索该框架的利用漏洞,发现都是需要授权登录的
- 也没有其他可泄露账密的地方,再次对该目录进行扫描,发现了一个
conf
目录,提示禁止访问,再对该目录进行扫描得到了setting.xml
文件
- 访问改配置文件,搜索了几个关键词,找到了
mysql
的登录账密
数据库渗透
- 使用给出的账密登陆到靶机的
mysql
数据库
- 使用
show
和use
命令,查看到了一些可疑的表,通过查询语句查看表里的内容,发现了一些账号和密码
- 通过检测得到
admin
的密码实md5加密的,但是都没能解密出来
- 想到了可以对表里的数据进行修改,可以直接更改
admin
的密码,使用update
命令,发现当前数据库用户具有修改权限,成功执行。由于保存的是md5
加密值,所以修改的密码也需要经过md5
加密
- 使用账密成功登陆到后台
获取权限
- 后台的
add document
界面可以进行上传任意文件,直接上传反弹shell的php文件 - 但是没有返回上传路径,之前扫描到的路径只剩下
data
了。搜索了一些seeddms
后台上传路径,找到了一个/data/1048576
的默认路径
- 再使用目录扫描工具,对该目录进行扫描,得到了
4
和5目录,因为上传了两次,再对/4
目录进行扫描得到了1.php
文件
- 访问该文件成功在
kali
主机返回了shell
权限提升
- 先去查看了一圈
cms
框架的配置文件,没什么收获,来到home
目录下,发现了一个很熟悉的saket
用户目录,之前在查看数据库中的表时,一个users
表里的内容就有该用户及其密码
- 直接切换到
saket
用户,发现成功切换
-
现在知道了为什么没有
ssh
端口了,所以一定要留意渗透过程中所遇到的账号密码 -
切换交互式
shell
,查看sudo -l
权限发现具有所有的root权限,提权就很简单了
- 使用
sudo su -
切换到root
用户,成功获得root
权限
靶机总结
- 打过
ctf
的经验,也是遇到藏在js
文件里的隐藏信息的情况,但是这靶机的隐藏信息确实不容易发现,不仔细看就会错过的 - 目录扫描还是很有必要的操作,如果没有什么有效的信息,就对新得到的目录进行目录扫描,查看有没有隐藏的文件
- 靶机web渗透的难度还是挺高的,因为很少遇到这种藏在那么深的信息
- 又熟悉了一遍命令行操作
mysql
和update
命令,对于没法破解的密码,只要数据库用户具有修改权限,就直接将密码修改成自己的 - 了解到了
seedDMS
框架的后台漏洞利用,知道了后台上传文件的默认路径,再通过目录扫描得到上传的文件