0x01 信息收集

国内起手式nmap，开启了80和3306端口

nmap -sS -T4 192.168.108.128/24

访问网页是这样的

0x02 WEB渗透

随便点点，发现没有什么，目录扫描一波，好吧，没扫到什么

python3 dirsearch.py -u http://192.168.108.131/

看到有js的话，也许jsfinder能找到什么呢

扫描到了一些js，先看看main.js吧

发现有个安装的路径 /seeddms51x/seeddms-5.1.22/

访问后出现一个登录页面，应该是有个什么CMS漏洞

searchsploit搜索了一下，不过，，，好像没有5.1.22版本的漏洞

searchsploit SeedDMS

那就扫描一波当前目录/seeddms51x/seeddms-5.1.22/，看看有没有可利用的信息吧，很遗憾没有

尝试扫描上一层目录/seeddms51x/，发现了一个conf目录，直接访问是访问不了的，所以继续往深一层扫描，功夫不负有心人，找到了/seeddms51x/conf/settings.xml

从settings.xml找到了数据库的账号密码

<database dbDriver="mysql" dbHostname="localhost" dbDatabase="seeddms" dbUser="seeddms" dbPass="seeddms" doNotCheckVersion="false"> </database>

本来还想着用MDUT试试，不过好像能连上，但是UDF提权报错，只能老老实实打开数据库看看咯

找到管理员的账号密码，密码拿到cmd5和somd5解密都解不出来，那就只能生成一个弱口令自己加md5替换

然后登录进去，好像是一个文件管理器？

这里可以上传webshell，我这里上传冰蝎4.0.6的webshell

上传了shell以后找不到路径

然后发现管理员页面的系统设置里面有上传的路径

Directory for partial uploads:/var/www/html/seeddms51x/data/

那么直接访问shell.php是找不到文件，猜测是有改文件名，直接扫描目录文件吧

好吧。扫描后没发现有东西，陷入了僵局

既然这种是CMS开源框架，那么直接下载安装文件，看看有没有啥路径

https://sourceforge.net/projects/seeddms

虽然解压时候有点报错，不耽误看路径，发现有个1048576的文件夹，那么就扫描一波路径

发现有个4的路径，正好对应上面上传的目录序列号

继续扫描，发现有个1.php（上传后会给你重命名），应该就是shell了

ok，冰蝎连接成功

0x03 权限提升

看到home目录下有个用户名目录saket

不用怀疑，刚刚在数据库中有个单独的user表，里面就存放了saket的账号密码

saket|Saket@#$1337

切换用户还得用冰蝎弹个shell回来，不过好像提升不了交互式会话

还是用上传文件访问后就反弹的webshell，浏览器插件可以生成一个php马

用上面的方法再次上传，扫描目录文件的时候就直接触发反弹了

提升交互式的shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

然后切换用户，sudo -l查看特权文件

根据特权文件可知用户"saket"在Ubuntu系统上可以通过使用"sudo"命令以root权限执行任何命令。这意味着用户"saket"已被授予在系统中执行任何命令所需的root权限

按照ChatGPT指示，sudo -i就可以直接切换到root用户的权限

完结撒花！这靶场有点搞人心态，大部分都是靠目录扫描获得信息。