Vulnhub之w1r3s

Vulnhub之w1r3s

靶机官网及.zip下载链接 (直接点击.zip下载链接下载压缩包就行)

靶机官网：Vulnhub之w1r3s

.zip下载链接：https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip

题目要求拿到root权限并找到/root下的flag

前期准备

跟上次一样，解压缩后，选择“打开虚拟机”，然后设置里将靶机网络模式改成NAT模式，然后打开靶机，放在一边不用管了（快速带过）

这次实验除了两个特殊的命令我会给你们外，其余我都没贴出来让你们复制

(其实给不给你们区别不大，反正ip也不一样你们也得改，我只是懒得再敲一遍而已）

扫描搜集信息阶段

打开kali，查看ip地址

这回咱们使用下图命令扫主机 （分析ip应该都会分析了，我就不赘述了，找到靶机ip记好）

或者还是使用nmap也行 ，加个-sn扫的更快

然后扫描靶机开放端口，执行下图命令
-min-rate 10000 :表示以最小速率10000进行扫描
-p- :表示扫描全部端口

再使用下图命令扫端口的服务和版本
-sT ：表示以TCP模式扫描
-sC：等效于 --script=defult ，表示使用 nmap 的默认脚本集合进行扫描
(注意-p和待扫端口之间没有空格，并且端口之间是逗号隔开)

顺便可以再使用UDP模式扫描一下

最后执行下图命令扫描一下漏洞
nmap --script=vuln -p扫描端口 靶机ip

扫描过程可能要持续5~6分钟

扫描结束，我们开始尝试利用各个端口开放的服务

ftp利用

前面探测到ftp端口存在匿名登录，我们尝试使用匿名登录

输入 ：ftp 靶机ip

出现输入用户名时输入：anonymous

出现输入密码时输入：不输入，直接回车

看到命令行变成ftp说明登录成功，然后ls查看有啥东西

发现有三个文件夹，我们接下来一个个查看

先进入第一个文件夹，发现有三个txt文件

执行mget批量下载文件，下载每个文件时需要回车确认（注意，后面这些下载的文件都会下载到匿名登录之前的路径下）

再进入第二个文件夹，有一个txt文件，执行get命令下载

再进入最后一个文件夹，也有一个文件，同样下载，下载完输入bye命令退出

退出，查看是否下载成功

01.txt

接下来一个个查看，先查看01.txt

02.txt

再看02.txt，出现两串加密后的字符串，上面的是md5，下面的是base64编码

不信的话使用hash-identifier命令辨别一下

找一个免费解密的网站MD5免费在线解密破解

解出来一句话，它说“这不是一个密码”，又没用

下面一串base64使用hash-identifier是解不出来的，因为这是一个编码，但是应该是base64编码（结尾俩==）

那我们就使用下面的命令形式去打印这串编码试一下，或者上网找一个base64解码器试一下

看来就是base64，解出来说“它是简单的，它又不是那么简单” …还是没用

03.txt

看一下03.txt，显示出公司图案，也没用

worktodo.txt

再查看worktodo.txt，这里忘截图了，反正查出来会出现两串镜像反转字符

再找一个查询网站Upside Down Text | Flip Text, Type Upside Down, or Backwards Text //进不去多试几次

分别解出了“我不认为这是获得root的途径”和“我们有许多工作要做，所以停止闲逛”，总而言之，都没用

employee-names.txt

再查看最后一个文件，找到了一些人名和职位，目前不知道有没有用（其实到后面也没用 -_-）

http服务利用

前面扫到存在80端口，所以我们物理机访问靶机ip，出现apache默认界面，在这没啥用

wordpress访问

想起前面扫到一个目录，访问一下，是一个登录界面，没密码，也没啥用

这里想访问一下61.139.2.135/wordpress 界面，但是会自动变成localhost/wordpress 界面，没用😒

dirsearch扫目录

那我们开始回到kali扫目录，看看有没有可以利用的目录

我们这里使用dirsearch工具扫目录

使用dirsearch --version //查看有没有安装dirsearch

没有的话采用 ：apt-get install dirsearch //安装一下

然后采用：dirsearch -u http://靶机ip //扫一下目录

我这里就截了最下面重要的几条

发现有三个不同的大类目录

wordpress目录我们刚才已经试过了没用，再试试javascript界面，回到物理机浏览器

也没用，那再试试administrator目录，发现会自动跳转到administrator/installation界面

同时标题变成下图

(小补充) CMS：‌CMS是Content Management System的缩写，中文翻译为内容管理系统，我们国内都理解为网站内容管理系统，网站内容发布系统。简单来说就是用户可以通过这个CMS来建设网站、发布网站内容、管理网站内容。

那我们就浅浅试一下能不能创建一个账号（上图界面按next后到下图界面）

很明显不能🥲

searchsploit漏洞库查找

那就回到kali查一下漏洞库，看一下有没有这个CMS的漏洞记录

使用searchsploit命令查一下这个系统的记录漏洞

查到一个，那我们下载下来查看一下

查看一下内容（我就只截重点了）

发现第一行说明是一个文件包含漏洞，并且EXPLOIT里给出了两条利用命令

这里我们需要使用的是第二条命令，复制下来，将命令里的target改为靶机ip，然后回到浏览器访问一下，Oh,shit! 还是没用

换路径，将路径里的cuppa改为administrator，再次查看

发现有界面了，但是无回显，再次回顾漏洞，发现是$_REQUEST（允许post和get请求），那我们就再试试post请求（刚才属于get请求）

curl命令请求

鉴于大多数同学的实际情况考虑，我们这里使用curl命令达成post请求同样的效果

复制下面的命令，将ip变成你的靶机ip（这里最好直接复制我的，然后先粘贴在记事本上改好再粘贴到命令行里，不然如果你的会话字体放大了的话在命令行改可能会出现错位，如果你的字体小的跟芝麻一样当我没说，ctrl+shift+'+'放大）

curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://61.139.2.135/administrator/alerts/alertConfigField.php 

输入的要是我这样的形式

可以看到返回了数据，在最下面将/etc/passwd里的东西返回了，里面存的是账户信息

那我们再次改一下命令，查询/etc/shadow里的信息（这里同样建议复制我的命令先改好再粘贴到命令行）

curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://61.139.2.135/administrator/alerts/alertConfigField.php

很明显的查看到了三条不一样的数据（其它的别管）

复制下来到记事本里

然后再打开kali桌面新建一个文件，文件名随便，我这里取得hash，将上面内容粘贴到hash里保存

然后cd到桌面

john解密

接下来我们使用john命令解密

格式：john 加上你取的文件名

有两个账户信息能解出来，root解了一段时间解不出来，那就先算了

注意啊，括号里是用户名，前面一个才是密码！

这里要注意，同一个文件只能解密一次，想要再次查看解密结果可以使用下图命令（或者你往上翻也能查看😝,其它方法请上网搜寻）

ssh利用

ssh远程登录，老朋友了，这次不使用私钥，所以直接: ssh 用户名@靶机ip 就行

我这里直接使用w1r3s用户登录，因为computer一看权限就高（其实是我看过别人的过程了😜）

登录后查看可使用权限（这里可能要稍微等待一段时间）

全是ALL，那就是都可以用，那就直接提权（这里也可能要等待一段时间）

whoami发现用户变成root后，别忘记我们是要干嘛的，靶机描述说了，flag在/root下，那就直接cd到目录下

成功拿到flag

然后老样子exit命令退出

至于那些下载的文件你要是会删你就删，不会删又想删的话来找我给你删（或者你直接恢复快照也行）