Vulnhub靶机：hackme1

一、介绍

运行环境：Virtualbox(攻击机)和VMware(靶机)

攻击机：kali（192.168.56.106）

靶机：hackme1（192.168.56.107）

目标：获取靶机root权限和flag

靶机下载地址：https://www.vulnhub.com/entry/hackme-1,330/

二、信息收集

因为靶机导入Virtualbox会报错，所以靶机使用VMware

使用nmap主机发现，靶机ip为：192.168.56.107

netdiscover -i eth1 -r 192.168.56.0/24

使用nmap端口扫描发现，靶机开放端口：22、80

22端口：根据nmap的扫描结果发现22打开安装的是OpenSSH 7.7p1，使用searchsploit搜索该版本的OpenSSH的历史漏洞，发现只有用户名枚举漏洞。

使用用户名枚举漏洞的exp进行扫描，发现靶机没有该漏洞，可能被修复了

80端口：打开网站发现是一个登录界面，查看源码没有发现隐藏信息。

登录界面首先猜测是否存在sql注入漏洞，可以使用sqlmap跑一下，发现不存在sql注入漏洞

sqlmap -u http://192.168.56.107/login.php --forms --dbs

使用dirsearch工具进行目录爆破

有一个注册页面，我们可以注册一个账号，登录，看看登录后有没有可利用的点

三、漏洞利用

登录后，发现存在一个查找book的功能点，怀疑存在sql注入漏洞，使用burpsuite截取该功能点的数据包，保存在post.txt里面，使用sqlmap工具进行测试，存在sql注入

sqlmap -r post.txt --dbs
sqlmap -r post.txt -D webapphacking --tables
sqlmap -r post.txt -D webapphacking -T users --dump

发现管理员账号的用户名和加密的密码，可以使用在线MD5解密网站进行解密

superadmin：2386acb2cf356944177746fc92523983

解密得到：Uncrackable

管理员账号登录网站，登录后发现存在文件上传功能点，直接上传webshell

之前我们爆破目录爆破出了一个/uploads/目录，上传的文件在该目录下

主机监听4444端口，点击上传的shell，反弹shell

获取交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

四、提权

查看是否存在特权命令，和具有可利用的root权限的文件，发现一个可疑文件/home/legacy/touchmenot

find / -perm -u=s -type f 2>/dev/null

发现该文件的所有者为root用户，直接执行看看，发现直接获得root权限

未发现flag