靶机地址:https://www.vulnhub.com/entry/w1r3s-101,220/
目标:得到root权限&找到flag.txt
作者:尼德霍格007
时间:2021-7-11
信息收集
Nmap ip扫描,确认靶机IP地址
Namp 端口扫描
可以看到开放以下几个端口了
21 FTP协议(可以匿名访问)
22 SSH
80 http
3306 mysql
先访问FTP,匿名访问不需要密码
content目录
一个一个打开看看,在01.txt中获得提示
02.txt
base64解密出来是一条无用信息,就不放图了,md5没解出来。
03.txt
查看docs文件夹,里面有个文件,打开
也是无用信息
查看最后一个文件夹
获得一份员工信息,以后可能会用到
FTP上暂时没有什么有用的信息了
访问80端口,
是个Apache页面,没啥有用信息
dirb爆破一下目录
发现了administrator和wordpress目录
访问administrator目录
发现使用的是Cuppa CMS系统
利用漏洞
查一下有没有什么漏洞
就一个,那就它了
看一下这个exp在什么位置并复制到当前目录
cat 25971.txt
描述中说/alerts/alertConfigField.php文件urlConfig参数存在LFI漏洞,可以利用特殊的url,查看本地文件
用curl来利用LFI漏洞获取etc / password文件
curl -s -data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.21.140/administrator/alerts/alertConfigField.php
注意这里ip要换成自己的
在此我们看到有w1r3s,root等几个用户
以同样方法获取密码文件
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.21.140/administrator/alerts/alertConfigField.php
爆破密码
我们使用john破解密码
把密码存进一个文件里
john破解
破解成功
用户名:www-data
密码:www-data
用户名:w1r3s
密码:computer
前面nmap扫到开了22端口,我们直接进行ssh登陆
获得shell
www-data账户登陆成功连接就会被关闭,就不放图了
成功登录
查看权限
居然有个27(sudo)可以直接提权
提权
直接换成root账户
获得flag
总结
这台靶机还算是比较简单,应该不是中级难度…
主要使用cms的本地文件包含漏洞和爆破工具john进行破解
思路:
- nmap扫描得到靶机开放21、22和80端口
- ftp可以匿名访问,获得公司名单信息(虽然后面没用到)
- dirb扫描目录,抓住关键信息:administrator目录
- 访问敏感目录了解到目标系统是Suppa CMS
- 搜索查看相关漏洞
- 获取passwd文件和shadow文件
- john爆破密码
- w1rs3登录,发现可以使用sudo命令
- 使用sudo获得root权限,nadaoflag