下载地址:https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip
1.配置环境
吧唧:NAT
kali:NAT
2.主机发现
经过粗略的扫描我们知道吧唧的ip为192.168.139.153
经过较为详细的扫描我们可以看到吧唧开启了21ftp服务,22ssh服务,80tcp服务,3306mysql数据库服务
3.访问服务
可以看到我们的吧唧是ubuntu的操作系统
这里我们扫描出来了一些目录,可以看到有些目录被302临时重定向,301永久重定向
在刚刚扫描出的目录中,/wordpress/wp-login目录异常的显眼,他长得很像wordpress网站登录页面的url地址,我们尝试访问他,他就是一个登录界面,但是长得一点儿都不像wordpress框架,但是无论我们输入什么他都会显示404找不到,除了标题的“Powered by WordPress”几个打字会跳转到wordpress官网,其他什么都点不了一点儿
访问一下/administrator/installation/目录,发现是一个长得很像安装界面的安装页面,标签页的标题是Cuppa CMS,google一下发现Cuppa CMS是一个开源的内容管理系统,他有一个文件包含漏洞
我们使用searchsploit搜索cuppa,可以看到成功搜索出来了一个txt文件,是LFI漏洞(本地文件包含漏洞),我们加上-m参数路径即可把文件下到当前目录下
根据这个文件描述的,可以利用特殊的urlconfig参数,查看文件
这里我们使用curl把我们的payload进行url编码后传递给吧唧指定位置,-s以静默模式,grep筛选/bin/bash的用户,可以看到只有root和w1r3s
这里我们读取/etc/shadow文件中关于w1r3s的信息(想都不用想root肯定爆不出来),其文件格式为{用户名}:{加密后的口令密码}:{口令最后修改时间距原点(1970-1-1)的天数}:{口令最小修改时间间隔(防止修改口令如果时限未到就恢复到旧口令)}:{口令最大修改时间间隔}:{口令失效前的警告天数}:{账户不活动天数}:{账号失效天数}:{保留},其中{加密后的口令密码}格式为\$id\$salt\$encrypted,id为1采用md5加密算法,id为5采用SHA256算法加密,id为6采用SHA512加密算法,salt为盐值对密码进行hash的一个干扰,encrypted为散列值
然后我们将w1r3s的信息放入pass.txt中,然后麻烦我们的好朋友john进行破解,得到账号密码w1r3s:computer
4.信息搜集
这里我们成功上号w1r3s
这里我们在w1r3s用户下查看其可以以root身份干的事情,发现他什么都可以干!我直接就是不客气的以root权限新开一个shell,成功上号root也成功拿到flag
总结:一开始扫描得到了四个端口,访问其http服务的时候发现他是Cuppa CMS的内容管理系统,使用searchsploit工具搜索关于Cuppa的漏洞,发现有个IFS漏洞,于是使用curl构造坏坏的payload,成功包含了/etc/passwd文件,知道了有两个用户有/bin/bash权限——root和w1r3c,接下来我们包含了/etc/shadow文件,读取其中w1r3c的内容,麻烦我的老朋友john进行破解得到密码compter,上号一看可以以root权限干任何事情,直接以root权限开一个shell,上号root拿到flag。这是大概是渗透流程,但是在我没有写在笔记上的,吧唧的21端口可以匿名登录,可以读取一些文件,但是对于拿flag并没有用,上号w1r3c的时候我在网站目录下看到了wp-config.php从中获取了mysql数据库的账号密码,登上数据库后还查看了一些比较可疑的表,但是对于拿flag并没有什么用。渗透的过程就是看到一个点你就要思考他可以利用的地方和一些他的相关知识,你竭尽所能的挖掘的点可能并没有用或者说是蜜罐?不过没有关系,学会体会这个探索的过程,他很有趣
新手上路,请多指教