渗透-W1R3S

学习笔记
字数统计: 494   |   阅读时长≈ 1 分钟

由于靶机和攻击机我都设置的是nat,处在同一个网关下,所以直接用nmap找一下靶机的ip

1
nmap -sn 192.168.11.1/24

image-20230104152533315

猜测是130,再用nmap全扫一下,看看具体的版本信息、开放端口

1
nmap -sS -sV -T5 -A -p- 192.168.11.130

image-20230104155143068

显然,开了四个端口:21,22,80,3306

其中,ftp的21端口可以匿名登陆,里边的文件可能有用;ssh的22端口可以爆破一下用户密码;80端口给的网页,可能有漏洞或者中间件可以攻击;3306数据库可能泄露

先试一下ftp

1
ftp 192.168.11.130

image-20230104160041435

把所有文件扒到本地试试

image-20230104160005641

好像只有02.txt有点东西

image-20230104160207387

但base64解出来啥都不是

image-20230104160236230

既然ftp走不了,ssh也没啥思路,那就试试web

看到apache2.4.18,想到新生赛的中间件攻击,但是好像没有这个版本的漏洞,只能放弃中间件

dirb扫一下

扫到一堆/administrator/和/wordpress/的网址,访问看看

image-20230104161157828

是一个cuppa cms框架的安装界面

再找找cuppa cms有没有什么漏洞可以打

1
searchsploit cuppa

image-20230104161347544

只找到一个,复制出来看看具体怎么实现

1
2
searchsploit -m 25971.txt
cat 25971.txt

看得到这个漏洞的打法,写的是可以通过这个漏洞读取非php文件

image-20230104161538221

参考题目的提示,那就很明显了, 试着读取登陆用户,爆破密码,然后之前找到的ssh就有用了

image-20230104164506537

把target/cuppa改成刚刚找到ip/administrator/的输一下

image-20230104162153636

没回显

换用burpsuite发个post试试

image-20230104164127035

拿到passwd信息

image-20230104164144631

看到有一个特别的用户:w1r3s

image-20230104164639537

再读一下shadow

image-20230104165656963

存到pass.txt里,参考Linux密码破解(使用hydra工具和使用john暴力破解)_国际知名观众的博客-CSDN博客_linux hydra

用john爆破

image-20230104170005275

拿到密码和用户名,再ssh登陆

image-20230104170238620

1
sudo su

成功拿到root权限

image-20230104170710939

  • Copyrights © 2022-2024 b1xcy