001-W1R3S:cms文件包含漏洞+hash破解
文章目录
1.nmap扫描
- 21端口开放ftp服务,可以尝试匿名连接
- 22端口开放ssh服务,优先度低
- 80端口是web端口
- 3306搭载mysql数据库
2.ftp匿名登录
尝试匿名登录ftp命令:
ftp 192.168.2.132
Name (192.168.2.129:zls): anonymous
或者通过xftp匿名登录
登陆后下载到一些txt文件,经过检查,暴露出一些信息
- 暂时用不到
3.dirb目录扫描
- 发现wordpress目录,但每当点开总被重定向的localhost,无法访问
- 发现administrator目录,点开发现是一个cms install目录,同时标题暴露了具体的cms(cuppa-cms)
4.install安装界面尝试安装
- 创建管理员用户失败,无法直接安装
5.cuppa cms漏洞利用
得知网站是通过cuppa cms搭建的我们用searchspliot
- 发现一个远程文件包含漏洞
- 按照利用exp我们访问http://192.168.2.129/administrator//alerts/alertConfigField.php?urlConfig=…/…/…/…/…/…/…/…/…/etc/passwd,发现无回显
观察漏洞代码段
- 发现这里是以request方式接收请求,联想到或许需要我们使用post提交请求
- 使用post请求后我们成功访问到了shadow文件
6.使用john进行hash密码爆破
注意:1.使用john破解密码后,会在kail的/home/用户目录,生成一个.john文件,该文件缓存john历次破解情况,使用john时最好将这一目录先删除,避免发生一些问题。2.使用john破解时,如果用时超过10分钟就说明破解出来的机会不大
- 发现两个用户的密码
7.ssh连接
- 发现只能连接上w1r3s
7.sudo提权
检查我们可以用sudo执行上面命令
sudo -l
- 发现可以用sudo执行全部命令
- 所有我们可以通过sudo访问/root
- 成功得到flag
同时我们也可以根据sudo提权
通过find / -user root -perm -4000 -print 2>/dev/null我们可以得到所有有suid权限的指令
检查发现
- mount可以sudo提权
- 输入这两行命令,获得root权限,再通过python获得更好的交互式shell