打靶笔记w1r3s.v1.0

打靶笔记w1r3s.v1.0

nmap扫描与分析

主机发现

nmap -sn 192.168.218.0/24
历史版本为-sP(已经被放弃)
n 不进行端口扫描

192.168.218.155

image-20240528182512312

创建文件夹保存端口信息

image-20240528184733528

指定最低1万速率扫描所有端口

nmap -sT --min-rate 10000 -p- 192.168.218.155 nmapscan/ports

-sS SYN扫描是快速扫描(有时防火墙会有SYN过滤)
而-sT 是完整tcp三次握手扫描(准,隐蔽性)

10000 避免判定恶意、网络、打靶能承受(速度平衡)
-p 端口
- 1-65535简写
0 输出
A 所有文件格式

image-20240528184946731

gnmap格式已经被放弃,处于历史延续性被保留
nmap与屏幕输出一样
xml不言而喻

image-20240528185059937

提取端口

grep open nmapscan/ports.nmap | awk -F'/' '{print $1}' | paste -sd ','

image-20240528185758744

详细信息扫描(分析重点)

nmap -sT -sV -sC -O -p21,22,80,3306 192.168.218.155 -oA nmapscan/detail

-sC 默认脚本扫描

80权重最重

3306可能有弱密码访问权限,可能配合其他环境完成利用

22在渗透方面排后,通过ssh拿到登录权限意义不大

20min不能拿到进一步结果就要切换下一个攻击向量

结合环境判断选择

image-20240528185956469

udp扫描

nmap -sU --top-ports 20 192.168.218.155 -oA nmapscan/udp

--top-ports 前20

image-20240528190152519

默认脚本扫描

nmap --script=vuln -p21,22,80,3306 192.168.218.155 -oA nmapscan/vuln

21、22并没有更多的信息

80提示没有csrf、xsrf,提示有dos攻击(基本不会选,过于暴力,没有技术含量),没有找到关于DOM的XSS

mysql试探

3306也没有新的发现

image-20240528194429351

ftp渗透

匿名用户登录成功

image-20240528194613817

使用binary切换到二进制模式

ftp交互命令行可以用?显示

image-20240528194656073

先关闭交互式,不用每次确认

image-20240528194904992

下载,将三个文件内容全部下载到kali分析

mget *.txt

将txt文件一起读出来

image-20240528195206631

一个是md5、一个是base64

不知道什么加密可以使用kali工具hash-identifier

来识别

image-20240528195552394

SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==
It is easy, but not that easy..
01ec2d8fc11c493b25029fb1f47f39ce
This is not a password

初学者尽量使用kali自带工具,在比赛中可能没有脚本工具,复杂破解不出来,这题还得用破解网站去做

image-20240528195846174

image-20240528200154884

image-20240528200527776

我们用明文校验一下,正确

image-20240528200354861

他用使用ASCII码输出 the W1R3S.inc

以及这家公司员工列表

image-20240528201828004

后面逆序和反转文字,可以选择截屏进行旋转,使用在线工具

we have a ןot of work to do‘ stop pןayıng around˙˙˙˙
      ı don't thınk thıs ıs the way to root!
 我们有很多工作要做'停止 pןayıng 在 ̇ ̇ ̇ ̇ ̇ 周围
      不要 thınk thıs 是根的方式!

image-20240528202316207

21端口目前信息就这些了,22端口优先级排后,暂时不看

看3306,使用空密码,说错误 1130 (HY000):不允许主机“192.168.218.145”连接到此 MySQL 服务器

不允许kali连接,暂时不成功

image-20240528202637116

web渗透

image-20240528202712501

然后看源码,简单html布局,css代码,标题与注释目前也没有作用提示

image-20240528202837375

目录爆破

gobuster dir -u http://192.168.218.155 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

image-20240528203604162

看到administrator可以打开,页面的title显示是CUppa CMS ,程序安装页面

奇怪的是进入wordpress自动跳转到localhost页面

目前没有将所有信息进行验证,暂时将kali设置localhost等配置优先级排后

cuppa cms渗透

执行next(在实际过程中,因为在没有进去对网站进行不可逆操作,可能被管理员发现,我们应该对此有预期)

继续下一步

image-20240528204546555

配制文件、创建表格正常;管理员用户创建失败

image-20240528204611867

只有back、回去、看一下源码;也没有获取有用信息

只要是管理系统,就会有大大小小的漏洞;循着这个思路searchsploit(数据库搜索工具)找一下

searchsploit搜索的是https://www.exploit-db.com/的本地copy;他是不联网的

如果有多个,就一条一条试;并不一定都成

image-20240528205136237

searchsploit cuppa -m 25971
-m 实际上等于做了一个镜像

cuppa cms 25791利用

把25971下载到当前路径

image-20240528205342469

分析漏洞如何利用

image-20240528205625194

image-20240528205858246

先测试下漏洞是否存在,根据txt测试

测试装在cuppa文件夹下

http://192.168.218.155/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

image-20240528210111815

那可能cuppa在安装中被指定administrator目录;这么去推断;这个只能去猜,简单的猜

http://192.168.218.155/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

ok这个是显示;但是并没有读取出passwd,看一下源码;源码也没有泄露出passwd信息

有内容,没有读出来,按照给的txt就是这么操作的

alertConfig是作为参数给出来的,一般作为参数是用get方式处理数据的,但是程序的处理逻辑未必是这样

txt中还有base64编码的问题,这是在利用中提到的一点,我们要在利用中进行尝试;可以用burp

image-20240528210322038

可以做代码审计的,他是服务管理系统,有软件链接,

image-20240528211414514

使用wget下载

txt说文件22行,这个是样式文件,还是用关键字寻找吧

在alerts的文件下,源码有些变化;漏洞依然是存在的;它是用POST方式传输,并且没有做任何处理,那这样就简单了,可以用burp site也可以用命令行工具

image-20240528211710229

curl有一个对url进行编码,并且通过POST方式进行传递

image-20240528212038350

curl --data-urlencode 'urlConfig=../../../../../../../../../etc/passwd' http://192.168.218.155/administrator/alerts/alertConfigField.php

看到已经列出passwd内容

每个用户第二段都是x,证明密码以哈希方式存在shadow中;所以回去找shadow文件

image-20240528212346537

火狐方法

image-20240528212442060

shadow文件

是可以的

image-20240528212616900

image-20240528212707318

将没有hash的用户删掉;目前有root、www-data、w1r3s用户

john破解shadow

丢给John破解

image-20240528213947948

获得系统立足点和提权

使用ssh连接w1r3s

提示是正确的路吗

哦 可能

image-20240528214135254

成功

image-20240528214343806

查看sudo -l

拥有全部权限

image-20240528214657675

用sudo 启动bash会话

image-20240529141511457

找到flag

image-20240529141542188

ssh暴力破解

不推荐思路

image-20240529161548631

同也可以破解出来

image-20240529161824675

w1r3s.v1.0靶机总结

不要忽略udp、ipv6

兔子洞不重要,要逐一尝试

posted @ 2024-05-29 16:24  Dear's关根  阅读(26)  评论(0编辑  收藏  举报