渗透靶场-w1r3s 1.0.1靶场
下载好靶机后,启用NAT网络连接,打开靶机出现如下界面:
打开kali,ip a
查看ip
- 其中的eth0中粉色显示的为当前kali主机的ip地址
启用nmap扫描主机,探测当前网段内的存活主机
-
小tips:
nmap扫描建议启用root用户 su root 以防报错!
nmap –sn 192.168.217.0/24
-
发现其中除了本地ip以及部分服务ip 可以判断出192.168.217.138为当前开启的靶机ip
启用nmap继续端口扫描
nmap -min-rate 10000 -p- 192.168.217.138
- 以最小速率10000对全部端口(1-65535)进行扫描,10000是权衡的结果,数字过大扫描速度快,但容易遗漏端口,数字过小则扫描时间过长,经验表明10000就是扫描的合适速度。-p-表示对所有端口进行扫描。
nmap查看当前端口对应的服务,以及操作系统的版本等
nmap –sT –sV -O –p21,22,80,3306 192.168.217.138
nmap 使用vuln脚本来扫指定21 22 80 3306端口
nmap -script=vuln -p21,22,80,3306 192.168.217.138
扫描结果可知80端口存在一个dos,可忽略
最主要的是扫描出来一个/wordpress/wp-login.php: Wordpress login page.
这是一个CMS登录的页面
扫描阶段基本结束,那么就该开始渗透了
- 已知端口存在21 22 80 3306
- 那么就应该先抓住最容易突破的点来进行渗透
21 端口为FTP服务 已知ftp服务默认存在匿名登录大部分21端口会关闭这个功能,可在当前环境尝试登录
登录名:anonymous
密码:空(直接回车即可)
FTP登录
- 成功登录!!!!
ls 查看文件
cd 进入第一个目录,
mget *.txt
命令执行,下载
- 碰到选择直接输入y回车,确认下载
切回上一目录,选择下一个文件夹,并下载其中文件
继续换目录,下载文件,注意每次下载文件使用的命令!!
- 输入quit退出
现在我们已经把所有能看到的文件都下载完成,查看我们下载的文件
- 第一个文件没什么内容,忽略,第三个文件也没有有用信息
- 第二个文件中存在编码 使用
hash-identifier
命令尝试识别
- 识别为md5
- 那么就要进行解码了
网上查找md5的解码网站,得出结果为This is not a password- 解码无用,那么就和这个文件没有关系了
FTP基本上能看的都看完了,没有获取到实实在在的有用信息,换个思路,尝试80端口,毕竟之前也探查到CMS登录页面
打开网页,没有给到有用的提示信息,那么第一步就应该查看文件目录(扫描目录很慢,耐心等着即可)
扫到了很多目录,仔细查看,存在的有用目录就只有三个
adminstrator
javascript
wordpress
administrator:
- 网站头为Cuppa CMS
可以确定,路找对了- 通过点击按钮,查看其功能没发现可以利用的点
- 那么就要启用searchsploit cuppa来查询这个CMS的利用Payload
- 查看文件内容,发现存在文件包含漏洞
- 按照文件中的提示,来进行渗透:
- 文件中提示到传参为Post请求
- 那么就直接用终端中的命令来执行漏洞
curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.217.138/administrator/alerts/alertConfigField.php
直接读取到了passwd文件,那么说明我们传参成功,并且获取到了当前主机中的passwd文件查看权限
- 但是在passwd文件中没有我们需要的用户名密码
- 再次尝试获取shadow文件内容,或许能够看到用户名,密码
- 修改上述传参代码,更改为/etc/shadow
curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.217.138/administrator/alerts/alertConfigField.php
- 查看到的文件为编码过的,所以应该提取这个文件的内容,并且解码来获取其中包含的用户名密码
- 使用john函数尝试解码
john hash1
- 存在两个用户,后续没法继续爆出root用户名和密码了,直接ctrl+C结束
到此时,我们已经获取到了用户名密码,那么可以直接登录,而我们之前获取到22端口开放,那么直接ssh连接
此时成功连接到靶机,证明我们已经成功渗透进入靶机中
此时用户的权限太低,可以使用whoami查看,所以应该提权,来进一步让我们完全掌控这个靶机
- 在这个靶机中,权限为all,可以说已经算是最高权限了
-
那么可以直接
sudo /bin/bash
命令,来获取到root权限