靶机提示
ftp渗透 数据解密 cms框架 文件包含 hash碰撞 sudo提权
下载地址
通过网盘分享的文件:w1r3s.v1.0.1.zip
链接: https://pan.baidu.com/s/131IZy-MSW9vcbhO1dKd6EQ?pwd=79f4 提取码: 79f4
--来自百度网盘超级会员v8的分享
打靶方法推荐
在基本掌握渗透测试基本流程(主机发现、端口扫描、服务探测、漏洞利用、横向移动以及权限提升)后,就可以采用靶机盲打的方法(不要先看靶机的wp,而是靠自己的渗透思维链、平时的笔记、网上的信息搜集能力和一点点灵感去走完整个getshell的历程)去练习。
主机发现
nmap -sn 192.168.8.0/24
端口扫描
nmap -sT --min-rate 10000 -p- 192.168.8.176
服务版本探测
nmap -sT -sC -sV -O -p80,22,21,3306 192.168.8.176 -o w1r3s
发现一个ftp匿名登录漏洞
漏洞扫描
nmap --script=vuln -p 80,21,22,3306 192.168.8.176
发现了wordpress的后台
ftp渗透
匿名登录
ftp anonymous@192.168.8.176
ftp数据传输
换二进制传输
binary
关闭下载提示
promopt off
批量下载
mget
数据解密
一共五个文件,先看一下,好像有个MD5加密,一个base64加密
这个存的是员工姓名
还有一个倒置的文档,可以用截图工具,截图旋转
查看镜像旋转的文档
rev wordktodo.txt
发现是个兔子洞!!!
hash碰撞
先识别一下
hash-identifier 01ec2d8fc11c493b25029fb1f47f39ce
直接利用互联网资源
base64
似乎都是兔子洞
目录扫描
gobuster dir --url http://192.168.8.176 --wordlist=/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x php,txt,bak
果然是有wordpress,还有一个administrator的后台
cms渗透
发现是cuppaCMS框架,还有一个安装路径
点击下一步看看有没有更多信息,
并没有更多信息
漏洞搜索
searchsploit cuppa
有一个文件包含,下载poc
searchsploit -m 25971
文件包含
我们可以看到有漏洞路径,漏洞原因和漏洞利用方式
BURP修改请求方式
发现直接利用方式无法复现漏洞,前端源码中也没有读出文件,联想到前面是REQUEST请求,那也可以接受POST请求
burp抓包修改请求方式
果然看到了泄露的文件
读取shadow文件
密码爆破
提取三个shadow密码
john破解
john passwd.hash
得到了w1r3s的密码
成功ssh登录
sudo提权
sudo -l
拿下,hhh
靶机总结
这台靶机的兔子洞非常多,ftp上泄露的各种信息,经过解密,却发现都是无用的信息;还有无法打开的wordpress都让这台靶机的难度提升了一个级别。而最终的入口,竟然是通过hash碰撞爆破shadow密码,直接ssh登录,可以说是即在情理之中,又在意料之外,和现实打点一样,严防死守的登录口,只需要一个弱口令就能轻而易举的闯入。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
