准备：

攻击机：虚拟机kali、本机win10。

靶机：HACK ME PLEASE，下载地址：https://download.vulnhub.com/hackmeplease/Hack_Me_Please.rar，下载后直接vbox打开即可。

知识点：seeddms框架、敏感信息泄露、shell上传、目录扫描（较多）。

信息收集：

通过nmap扫描下网段内的存活主机地址，确定下靶机的地址：nmap -sn 192.168.110.0/24，获得靶机地址：192.168.110.4。

扫描下端口对应的服务：nmap -T4 -sV -p- -A 192.168.110.4，显示开放了80、3306、33060端口，开启了apache、mysql服务。

目录扫描：

使用dirmap进行目录扫描，发现了一些图片文件和js文件，在http://192.168.110.4/js/main.js文件中发现了一个目录信息：/seeddms51x/seeddms-5.1.22/。

对新发现的两个目录进行扫描，发现了/conf、/data、/doc、/inc等目录和文件，登录界面：http://192.168.110.4//seeddms51x/seeddms-5.1.22/out/out.ViewFolder.php，但是缺少账号和密码，也简单测试了下注入未成功。

对conf目录进行扫描，发现了/seeddms51x/conf/settings.xml，访问该文件查看是否隐藏有账户信息，意外发现了数据库的账号和密码信息：seeddms/seeddms。

数据库连接和web登录：

使用账户信息：seeddms/seeddms在navicat客户端进行连接，查看下数据库内的信息，在tblUsers中发现账户admin和其密码信息：admin

/f9ef2c539bad8a6d2f3432b6d49ab51a、以及：saket/Saket@#$1337。

修改数据库中admin账户的密码信息，在加密网站随便加密一串字符串，这里用的是upfine，将加密的字符串替换掉原来的加密字符串。

使用已知的账户名：admin和修改的密码：upfine，在http://192.168.110.4/seeddms51x/seeddms-5.1.22/out/out.ViewFolder.php界面进行登录。

获取shell：

在登录的web中发现了一处上传功能，上传shell反弹脚本，脚本内容可在：https://www.revshells.com/网站中获取，选取PHP PentestMonkey模块即可，或复制下面代码。

使用上传功能上传shell.php脚本信息，上传之后会显示错误信息，但是在主目录下是可以正常看到上传的shell文件的。

然后需要查找下上传文件的目录信息，在下载的seeddms框架中找到了其数据存放的目录为1048576，因此对靶机该目录进行扫描，命令：dirsearch -u http://192.168.110.4/seeddms51x/data/1048576 -e *，发现了/1048576/6目录，继续对此目录进行扫描，发现了1.php文件。

kali端开启对6688端口的监听，然后访问该php文件，成功获得shell权限。

提权：

前往/home目录下简单的查看下都有哪些账户，发现了账户saket，前面在数据库中获得了这个账户的密码：Saket@#$1337，因此我们可以直接切换到saket账户。

查看下当前账户是否存在可以使用的特权命令，sudo -l，显示是all，那就直接sudo su提权到root就好了。