Vulnhub_Hack_Me_Please 1靶机渗透测试

Hack_Me_Please 1靶机

信息收集

1. nmap扫描出来80和3306端口，全端口扫描又得到了一个33060端口

2. 使用目录扫描工具dirsearch得到几个目录

3. 尝试进行mysql免密码登录尝试失败

web渗透

1. web界面没有什么可以利用的地方，也没有其他目录，查看源代码发现了一些css和js文件，发现一个main.js，这里藏有隐藏内容的可能性最大，之前也有遇到过

2. 在文件中发现了一个可疑的目录

3. 访问该目录发现是一个登录框，标注着seedDMS，尝试搜索该框架的利用漏洞，发现都是需要授权登录的

4. 也没有其他可泄露账密的地方，再次对该目录进行扫描，发现了一个conf目录，提示禁止访问，再对该目录进行扫描得到了setting.xml文件

5. 访问改配置文件，搜索了几个关键词，找到了mysql的登录账密

数据库渗透

1. 使用给出的账密登陆到靶机的mysql数据库

2. 使用show和use命令，查看到了一些可疑的表，通过查询语句查看表里的内容，发现了一些账号和密码

3. 通过检测得到admin的密码实md5加密的，但是都没能解密出来

4. 想到了可以对表里的数据进行修改，可以直接更改admin的密码，使用update命令，发现当前数据库用户具有修改权限，成功执行。由于保存的是md5加密值，所以修改的密码也需要经过md5加密

5. 使用账密成功登陆到后台

获取权限

1. 后台的add document界面可以进行上传任意文件，直接上传反弹shell的php文件
2. 但是没有返回上传路径，之前扫描到的路径只剩下data了。搜索了一些seeddms后台上传路径，找到了一个/data/1048576的默认路径

3. 再使用目录扫描工具，对该目录进行扫描，得到了4和5目录，因为上传了两次，再对/4目录进行扫描得到了1.php文件

4. 访问该文件成功在kali主机返回了shell

权限提升

1. 先去查看了一圈cms框架的配置文件，没什么收获，来到home目录下，发现了一个很熟悉的saket用户目录，之前在查看数据库中的表时，一个users表里的内容就有该用户及其密码

2. 直接切换到saket用户，发现成功切换

3. 现在知道了为什么没有ssh端口了，所以一定要留意渗透过程中所遇到的账号密码

4. 切换交互式shell，查看sudo -l权限发现具有所有的root权限，提权就很简单了

5. 使用sudo su -切换到root用户，成功获得root权限

靶机总结

1. 打过ctf的经验，也是遇到藏在js文件里的隐藏信息的情况，但是这靶机的隐藏信息确实不容易发现，不仔细看就会错过的
2. 目录扫描还是很有必要的操作，如果没有什么有效的信息，就对新得到的目录进行目录扫描，查看有没有隐藏的文件
3. 靶机web渗透的难度还是挺高的，因为很少遇到这种藏在那么深的信息
4. 又熟悉了一遍命令行操作mysql和update命令，对于没法破解的密码，只要数据库用户具有修改权限，就直接将密码修改成自己的
5. 了解到了seedDMS框架的后台漏洞利用，知道了后台上传文件的默认路径，再通过目录扫描得到上传的文件