靶机地址:https://www.vulnhub.com/entry/w1r3s-101,220/
靶机难度:初级(CTF)
靶机发布日期:2018年2月5日
开启靶机之后先扫了一下内网IP找到靶机的IP
命令:arp-scan -l
然后dirb和nmap同时开启,一边扫目录一边扫端口
这边先让它扫者然后我们去访问一下靶机IP,发现是一个ubuntu的服务器默认界面
刚好此时dirb已经把目录扫出来了,我发现了几个有意思的目录/administrator、/installation 和 /wordpress /
直接访问/administrator,发现是一个cuppa cms(内容管理信息系统)
接下来的步骤就很明朗了,直接去百度上搜cuppa cms的漏洞,找到漏洞编号
我们发现官方文档里介绍我们可以通过PHPStream访问Configuration.php源代码
这里我们直接复制下来访问试试
在游览器中输入上面的url,页面没有回显,但是可以肯定的是这个php文件是存在的,可能是因为这个网站的cms经过二次开发导致目录结构发生改变,所以无法访问通,所以我打算使用curl对参数urlconfig进行urlencode编码
命令:curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.0.146/administrator/alerts/alertConfigField.php
知识点:1.Linux中curl是一个利用URL规则在命令行下工作的文件传输工具
2.-s 静音模式。不输出任何东西
3.-data-urlencode 先对数据进行URL编码,在发送给HTTP服务器,即对表单中的字段中进行URL编码后在发送。在此处意思是对‘…/…/…/…/…/…/…/…/…/etc/passwd ’字符串进行URL编码
成功游览etc/passwd文件后找到了第一个用户名w1r3s,接下来划重点,很多博主写这台靶机没有分享出来的一个小知识点
知识点:1./etc/shadow 文件,用于存储 Linux 系统中用户的密码信息,又称为“影子文件”。
2.由于/etc/passwd文件允许所有用户读取,易导致用户密码泄露,因此 Linux 系统将用户的密码信息从 /etc/passwd 文件中分离出来,并单独放到了此文件中。
3./etc/shadow 文件只有 root 用户拥有读权限,其他用户没有任何权限,这样就保证了用户密码的安全性。
所以接下来我们需要查看shadow文件的内容以获得w1r3s的密码
命令:curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.0.146/administrator/alerts/alertConfigField.php
接下来我们只需要破解这段密文即可,把拥有密码的几个用户全部保存到pass.txt文档上(在桌面创建一个),然后命令:john pass.txt跑出密码
之前用nmap扫到22端口,现在直接登录即可
切换到root目录(cd /root),查找flag(cat flag.txt),成功拿下这台靶机
今天的这台靶机难度比较低,就当练练手了,我是渡鸦,每天更新一台vulnhub靶机,欢迎老爷们关注我一起 提升技术,接下来会更新更多有难度的靶机,在评论区留言进入vulnhub渗透测试交流群一起进步