wir3s靶机—vulnhub靶场

type

status

date

slug

summary

📝 主旨内容

w1r3s 1.0.1靶机

实验环境

靶机ip：192.168.235.133

发现主机

资产收集

端口扫描（查看开放的端口）

—min-rate 10000

考虑扫描准确性，最小速度为10000

扫描结果：

发现开放了21,22,80,3306端口

端口扫描（特定端口/tcp）

扫描21,22,80,3306

端口扫描（指定端口/udp）

扫描21,22,80,3306/tcp

无法确定udp开放，暂时不管

使用nmap脚本扫描指定端口

存在ddos攻击漏洞（不考虑）

存在/wordpress/wp-login.php: Wordpress login page.（突破口）

MAC Address: 00:0C:29:BE:FB:8E (VMware) vmware的宿主机器很可能是windows

大概思路

思路一：ftp匿名登录

ftp登录成功

//anonymous，匿名用户

查看文件

全部文件拿下来

分析所有文件

思路二：web服务

访问ip

默认目录

推测当中存在其他web服务

目录爆破

工具：

dirb

gobirster

feroxbuster

fuff

尝试其中一个

使用feroxbuster

扫描结果

结果分析

cuppa cms安装界面

尝试安装

记住保存的信息

返回信息

成功创造表

成功编辑文件

无法创造用户

尝试寻找cms的漏洞

获取漏洞详情

cuppa cms漏洞详情

文件包含漏洞

漏洞描述

LINE 22: <?php include($_REQUEST["urlConfig"]); ?>

For Example:

php模块没开无法利用

http://target/cuppa/alerts/alertConfigField.php?urlConfig=php://filter/convert.base64-encode/resource=../Configuration.php

http://target/cuppa/alerts/alertConfigField.php?urlConfig=php://filter/convert.base64-encode/resource=../Configuration.php

get传参

无法正常显示（可能是对get方式进行了过滤）

post传参

成功包含文件

也可以在kali中尝试使用curl方法访问

包含/etc/shadow来爆破密码

shadow文件解析

文件的格式为：

{用户名}：{加密后的口令密码}：{口令最后修改时间距原点(1970-1-1)的天数}：{口令最小修改间隔(防止修改口令，如果时限未到，将恢复至旧口令)：{口令最大修改间隔}：{口令失效前的警告天数}：{账户不活动天数}：{账号失效天数}：{保留}

w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::

使用工具爆破密码

ssh登录

获取主机权限

提权

直接ssh登录

查看信息

这里直接提权....？因为这里他貌似是没有设置root密码，也就是说可以用普通用户的高级权限sudo进行操作

直接重置root密码

由于ubtun系统默认是没有激活root用户的，需要管理员手工进行操作 sudo passwd 或者sudo passwd root

或者直接可以 sudo su 直接无密码进入root

🤗 总结归纳

收获满满。。。

📎 参考文章

一些引用

引用文章

💡

有关Notion安装或者使用上的问题，欢迎您在底部评论区留言，一起交流~