一、前言

       最近在研究靶机，于是选了一个Vulnhub的靶机，靶机地址：https://www.vulnhub.com/entry/hack-me-please-1,731/。 这个靶机的目标是获得root权限。  靶机下载后安装好，选择NAT模式。使用Kali202.4作为此次的攻击机，同样选择NAT模式，使之与靶机相通。

二、渗透过程

1. 收集信息

获取靶机IP: arp-scan -l

ip信息

获取靶机开放端口及其服务： nmap -A -p- 192.168.28.145

80端口是一个内容网站，用的是Moonlight的cms，翻看了网页没发现什么有用的信息。3306端口是mysql的数据库，需要找到数据库的用户名和密码。

再扫描目录，看看有没有隐藏的路径。

dirb http://192.168.28.145 /usr/share/dirb/wordlists/big.txt

路径一个个查看，也没找到什么有用的信息，全是forbidden。再去网页源码找一下，

在main.js中发现了一句话和一个路径，试着访问这个路径。

 make sure this js file is same as installed app on our server endpoint: /seeddms51x/seeddms-5.1.22/

是SeedDMS的登录口，同时我们可以得到信息，版本是5.1.22。在网上搜索一下SeedDms信息，找到了默认数据库账户和用户名，用navicat试着登录，结果登进去了。有个seeddms的数据库，有个users表，进去看到存了个用户和密码,saket:Saket@#$1337,在tblUsers表里还有个admin的用户，admin: f9ef2c539bad8a6d2f3432b6d49ab51a。

admin的密码是md5加密的。去解密的网站试了下，没解开。直接修改密码为password的md5值，然后保存。

2. 渗透

使用admin:password登录。登录进去，看看有没有可以利用的功能。

有个“添加文档”的功能可以上传文档，考虑上传php的反弹shell。修改shell文件里的ip的端口并上传。但是不知道上传到哪里去了，貌似又没上传成功。

于是去又去翻翻数据库，在tblDocumentContent表里发现了上传的文件。

但还是不知道路径，在网上下载了seeddms的文档试着搭建网站，才拼凑除了完整的路径seeddms51x/data/1048576/9/1.php,开启监听并访问这个路经，反弹出了shell，是web服务用户的权限。

使用命令python3 -c "import pty; pty.spawn('/bin/bash')"得到一个稳定的shell。

3. 提权

查看文件，发现有saket的文件。

登录到saket，使用sudo -l查看可以提权的命令。震惊.jpg，竟然是ALL。

运行sudo awk 'BEGIN {system("/bin/bash")}', 得到root权限。