本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现

地址:​​https://www.vulnhub.com/entry/hackme-1,330/​​​

nmap -n -p- -A 192.168.226.129 -o hackme.nmap

nmap扫描结果

Vulnhub-靶机-HACKME: 1_搜索

开了80端口,访问看看

Vulnhub-靶机-HACKME: 1_sql_02

是个登录界面,能注册,那么就注册个用户bmfx,然后登录进去,有个搜索功能,直接搜索看看

Vulnhub-靶机-HACKME: 1_php_03

看到这类搜索框就试试单引号判断是否存在注入,但是没有回显,猜测有sql注入的可能性非常大,这里有两种方式,一种使用burpsuite抓这个搜索时候的POST请求包保存成文件,然后使用sqlmap -r参数读取文件注入,另一种直接加参数加cookie进行注入,具体如下:

sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k"

最终sqlmap识别出来可以通过union注入和时间型盲注,那么就好办了, 直接union注入出数据

sqlmap -u http://192.168.226.129/welcome.php --data "search=bmfx" --cookie "PHPSESSID=jlfqfn4rmcunv2ro8es8mgp09k" -D webapphacking -T users --columns --dump-all --batch

Vulnhub-靶机-HACKME: 1_sql_04

发现了超级管理员的标识,但是密码hash没有破解出来,丢到somd5.com上面看看

Vulnhub-靶机-HACKME: 1_搜索_05

使用超级管理员登录

Vulnhub-靶机-HACKME: 1_php_06

发现有上传功能,直接上传个php文件居然成功了,没有任何过滤,然后使用dirb扫描下目标靶机的目录看看

Vulnhub-靶机-HACKME: 1_搜索_07

发现一个uploads,访问看看发现刚才上传的webshell已经能看到了 

Vulnhub-靶机-HACKME: 1_搜索_08

直接使用php-reverse-shell反弹shell到kali本地

Vulnhub-靶机-HACKME: 1_搜索_09

升级成友好的tty-shell

Vulnhub-靶机-HACKME: 1_搜索_10

找了下家目录两个文件夹,找到一个setuid的二进制文件

Vulnhub-靶机-HACKME: 1_php_11

执行一把看看

Vulnhub-靶机-HACKME: 1_搜索_12

直接提权成功了

Vulnhub-靶机-HACKME: 1_php_13

 

迷茫的人生,需要不断努力,才能看清远方模糊的志向!