hack me please靶机攻略
首先进行主机发现
信息收集
扫描开放的端口
nmap -p- -sS -O -sV -sC -A -T4 192.168.237.197 -oN nmap.A
访问80端口,首页无可用信息
F12查看源码,找到main.js文件
main.js是整个项目的入口文件,尝试访问main.js,查看源码
发现是一个seeddms的管理系统,查看seeddms对应5.1.22版本的源码
seeddms / Code / [37c322] (sourceforge.net)https://sourceforge.net/p/seeddms/code/ci/5.1.22/tree/
尝试访问seeddms文档管理系统下的conf http://192.168.237.197/seeddms51x/conf/
尝试访问setting.xml
http://192.168.237.197/seeddms51x/conf/settings.xml
查看源码 第55行找到网站的根目录
在101行发现数据库账户名和密码
在out文件夹下找到一个out.login.php
发现登录页面
http://192.168.237.197/seeddms51x/seeddms-5.1.22/out/out.Login.php
尝试登录数据库
show tables查看表名
找到一个users用户表
查看用户表找到一个用户名密码 saket saket@#1337
查看tblsuers表发现admin的密码信息
修改密码为123456的md5值
update `seeddms`.`tblUsers` set `pwd` = ‘e10adc3949ba59abbe56e057f20f883e’ where id =1
登录网站
在上传文件的地方,上传一个木马
点击文件查看ID序号为10
文件上传的绝对路径为http://192.168.237.197/seeddms51x/data/1048576/10/1.php
使用蚁剑连接
查看ID后,当前用户为www-data
kali用蚁剑 上传一个反弹shell脚本(此处为部分代码),监听6666端口
浏览器访问
kali监听成功
ls /home 发现saket用户,grep bash /etc/passwd
之前查看user表里已经得到了saket的账号密码
切换saket用户 su -l saket
查看saket用户的sudo权限,可以免密登录root
sudo su提权,成功获取root权限