打靶笔记w1r3s.v1.0

打靶笔记w1r3s.v1.0

nmap扫描与分析

主机发现

nmap -sn 192.168.218.0/24
历史版本为-sP(已经被放弃)
n 不进行端口扫描

192.168.218.155

创建文件夹保存端口信息

指定最低1万速率扫描所有端口

nmap -sT --min-rate 10000 -p- 192.168.218.155 nmapscan/ports

-sS SYN扫描是快速扫描（有时防火墙会有SYN过滤）
而-sT 是完整tcp三次握手扫描（准，隐蔽性）

10000 避免判定恶意、网络、打靶能承受（速度平衡）
-p 端口
- 1-65535简写
0 输出
A 所有文件格式

gnmap格式已经被放弃，处于历史延续性被保留
nmap与屏幕输出一样
xml不言而喻

提取端口

grep open nmapscan/ports.nmap | awk -F'/' '{print $1}' | paste -sd ','

详细信息扫描（分析重点）

nmap -sT -sV -sC -O -p21,22,80,3306 192.168.218.155 -oA nmapscan/detail

-sC 默认脚本扫描

80权重最重

3306可能有弱密码访问权限，可能配合其他环境完成利用

22在渗透方面排后，通过ssh拿到登录权限意义不大

20min不能拿到进一步结果就要切换下一个攻击向量

结合环境判断选择

udp扫描

nmap -sU --top-ports 20 192.168.218.155 -oA nmapscan/udp

--top-ports 前20

默认脚本扫描

nmap --script=vuln -p21,22,80,3306 192.168.218.155 -oA nmapscan/vuln

21、22并没有更多的信息

80提示没有csrf、xsrf，提示有dos攻击（基本不会选，过于暴力，没有技术含量），没有找到关于DOM的XSS

mysql试探

3306也没有新的发现

ftp渗透

匿名用户登录成功

使用binary切换到二进制模式

ftp交互命令行可以用？显示

先关闭交互式，不用每次确认

下载，将三个文件内容全部下载到kali分析

mget *.txt

将txt文件一起读出来

一个是md5、一个是base64

不知道什么加密可以使用kali工具hash-identifier

来识别

SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==
It is easy, but not that easy..

01ec2d8fc11c493b25029fb1f47f39ce
This is not a password

初学者尽量使用kali自带工具，在比赛中可能没有脚本工具，复杂破解不出来，这题还得用破解网站去做

我们用明文校验一下，正确

他用使用ASCII码输出 the W1R3S.inc

以及这家公司员工列表

后面逆序和反转文字，可以选择截屏进行旋转，使用在线工具

we have a ןot of work to do‘ stop pןayıng around˙˙˙˙
      ı don't thınk thıs ıs the way to root!
 我们有很多工作要做'停止 pןayıng 在 ̇ ̇ ̇ ̇ ̇ 周围
      不要 thınk thıs 是根的方式！

21端口目前信息就这些了，22端口优先级排后，暂时不看

看3306，使用空密码，说错误 1130 （HY000）：不允许主机“192.168.218.145”连接到此 MySQL 服务器

不允许kali连接，暂时不成功

web渗透

然后看源码，简单html布局，css代码，标题与注释目前也没有作用提示

目录爆破

gobuster dir -u http://192.168.218.155 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

看到administrator可以打开，页面的title显示是CUppa CMS ，程序安装页面

奇怪的是进入wordpress自动跳转到localhost页面

目前没有将所有信息进行验证，暂时将kali设置localhost等配置优先级排后

cuppa cms渗透

执行next（在实际过程中，因为在没有进去对网站进行不可逆操作，可能被管理员发现，我们应该对此有预期）

继续下一步

配制文件、创建表格正常；管理员用户创建失败

只有back、回去、看一下源码；也没有获取有用信息

只要是管理系统，就会有大大小小的漏洞；循着这个思路searchsploit（数据库搜索工具）找一下

searchsploit搜索的是https://www.exploit-db.com/的本地copy；他是不联网的

如果有多个，就一条一条试；并不一定都成

searchsploit cuppa -m 25971
-m 实际上等于做了一个镜像

cuppa cms 25791利用

把25971下载到当前路径

分析漏洞如何利用

先测试下漏洞是否存在，根据txt测试

测试装在cuppa文件夹下

http://192.168.218.155/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

那可能cuppa在安装中被指定administrator目录；这么去推断；这个只能去猜，简单的猜

http://192.168.218.155/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

ok这个是显示；但是并没有读取出passwd，看一下源码；源码也没有泄露出passwd信息

有内容，没有读出来，按照给的txt就是这么操作的

alertConfig是作为参数给出来的，一般作为参数是用get方式处理数据的，但是程序的处理逻辑未必是这样

txt中还有base64编码的问题，这是在利用中提到的一点，我们要在利用中进行尝试；可以用burp

可以做代码审计的，他是服务管理系统，有软件链接，

使用wget下载

txt说文件22行，这个是样式文件，还是用关键字寻找吧

在alerts的文件下，源码有些变化；漏洞依然是存在的；它是用POST方式传输，并且没有做任何处理，那这样就简单了，可以用burp site也可以用命令行工具

curl有一个对url进行编码，并且通过POST方式进行传递

curl --data-urlencode 'urlConfig=../../../../../../../../../etc/passwd' http://192.168.218.155/administrator/alerts/alertConfigField.php

看到已经列出passwd内容

每个用户第二段都是x，证明密码以哈希方式存在shadow中；所以回去找shadow文件

火狐方法

shadow文件

是可以的

将没有hash的用户删掉；目前有root、www-data、w1r3s用户

john破解shadow

丢给John破解

获得系统立足点和提权

使用ssh连接w1r3s

提示是正确的路吗

哦 可能

成功

查看sudo -l

拥有全部权限

用sudo 启动bash会话

找到flag

ssh暴力破解

不推荐思路

同也可以破解出来

w1r3s.v1.0靶机总结

不要忽略udp、ipv6

兔子洞不重要，要逐一尝试