skyler实战渗透笔记(七)—W1R3S

skyler实战渗透笔记:

笔记是为了记录实战渗透学习过程,分享渗透过程思路与方法。

请注意:

对于所有笔记中复现的终端或服务器,都是自行搭建环境或已获授权渗透的。使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

0x00 前言

0x01 信息收集

0x02 渗透get shell

0x03 提权 

0x04 总结

 

0x00 前言

您被雇用来对W1R3S进行渗透测试。个人服务器和报告所有发现。他们要求您获得根访问权限并找到该标志(位于/root目录中)。

获得低特权外壳的难度:初学者/中级

特权升级难度:初级/中级

关于:这是一个易受攻击的Ubuntu盒子,它给了你一些现实世界的场景,让我想起了OSCP实验室。

 

0x01 信息收集

老规矩,先找目标

查看端口

 

|--21 ftp 支持匿名访问

|--22 ssh

|--80 httpd

|--3306 mysql

0x02 渗透get shell

第一步首先是访问ftp,这里支持匿名访问,登录上去看看有什么吧:

 

 

一共三个目录,每个目录中都有一个文档

第一个文档中是一个md5值和base64加密的值,解密后直接放在下面,看起来没啥用:

 

 

第二个文档是一堆雇员的名字:

 

 

第三个文档是把两行文字处理了一下,一个做了上下翻转;另一个应该是镜像:

 

 

还原后的得出这么一句话:

 

 

好家伙,白搞了半天,看来不是从这里进。

那么从80入手吧,先目录扫一下:

大部分目录都没什么可用的信息,只有访问http://192.168.245.147/administrator跳转到了一个cms安装界面:

 

 

 看到网页标题是一个Cuppa的CMS,那么就在sploit中查询一下,发现一个远程文件包含的漏洞

 

 

 

 

 

 

 下载txt下来查看了下,大概意思是说这个文件包含漏洞,可以访问对应目录,并通过urlConfig参数实现远程目录包含

 

 

 这里按照他的exp访问试下:

 

 发现是空的,看了下exp介绍,是采用REQUEST{}接收的参数,那么POST和GET应该是都可以,用POST试试:

 

 (Author Zhaoxuepeng https://www.cnblogs.com/Shepherdzhao)

好的,成功拿到了shadow的内容,那么复制下来,可以考虑用john来爆破一下了:

 

爆破出来w1r3s的密码,访问下:

 

成功!

0x03 提权

查看下w1r3s的用户权限:

 

发现竟然具有sudo权限

 

那么可以直接sudo提权,也可以用python反射提权:

 

查看flag

 

搞定!

 

0x04 总结

端口扫描——>目录遍历——>发现CMS——>LFI漏洞——>shadow提权

 

posted @ 2021-09-25 21:54  XuepengZ  阅读(270)  评论(0编辑  收藏  举报