W1R3S-1.0.1

前言

第一次打靶机,感觉渗透挺意思的,记录一下学习的过程

环境搭建

下载链接

​​​​https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip​​

解压后用vmware打开

获取主机信息

首先得找到靶机的ip

查看kali的ip,为192.168.213.135/24,所在网段为192.168.213.0/24,用nmap扫描这个网段

nmap命令

//-sn表示在主机发现之后不进行端口扫描,只打印响应了主机嗅探的可用主机,这种扫描也叫ping扫描
sudo nmap -sn 192.168.213.0/24

靶机启动前

启动后

可以看到多出来了192.168.213.137,这就是目标靶机的ip地址

端口扫描

nmap命令

-sT:指定扫描技术,以TCP协议扫描,默认为-sS

区别:-sS利用TCP的SYN标志位来探测目标主机的开放端口,只建立TCP连接的第一步。而-sT通过三次握手过程来判断,发送完整的TCP连接请求。前者速度快,但不稳定,后者慢,但稳定些。

--min-rate :扫描最低速率,一般用10000次/s。

-p--p指定端口范围,加上-后表示扫描1-65535所有端口,不加默认常用的1000个端口。

-oA:输出扫描结果,有三种输出格式。

sudo nmap -sT --min-rate 10000 -p- 192.168.213.137 -oA ports

提取所有开放端口

-F:以/为分隔符

{print $1}:打印第一个字段

-sd:合并为一行,指定分隔符

ports=$(grep open ports.nmap | awk -F '/' '{print $1}' | paste -sd ',')

详细信息扫描

扫描TCP端口

-sV:端口上服务的具体版本

-sC:nmap 自带的默认安全脚本,自动检测常见漏洞 / 配置问题

-O: 靶机运行的系统

sudo nmap -sT -sV -sC -O -p21,22,80,3306  192.168.213.137 -oA detail

扫描UDP端口

-sU:指定UDP协议

--top-ports:常用UDP端口

sudo nmap -sU --top-ports 20 192.168.213.137 -oA udp

漏洞脚本扫描

--script=vuln:进行漏洞探测

sudo nmap --script=vuln -p21,22,80,3306 192.168.213.137 -oA vuln

貌似没什么有用的

开始渗透

FTP

前面nmap扫出来可以进行匿名登录,用户名为anonymous,密码为空

切换到二进制模式

下载所有文件

关闭交互模式,下载文件

//下载多个文件
mget *.txt

//下载单个文件
get employee-names.txt

可能是md5,破解一下

验证一下,这里的-n是禁止 echo 在输出内容的末尾自动添加换行符

SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg== 一眼base64

解密一下

员工信息,不同的职位拥有不同的权限,可能在之后会有用

最后倒着的文字,找工具翻转一下

总结一下:目前得到的信息都没啥用

Mysql

无法登录

Web

访问一下,是apache的页面,看源代码没什么有用的信息,目录爆破一下

访问administrator,发现是cuppa cms的安装页面



没有创建成功,这条路走不下去了


找一下有没有CVE

利用kali的searchsploit发现了一个利用文档

下载

可能有文件包含,文件读取漏洞,尝试一下

访问
http://192.168.213.137/cuppa/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd 显示404,回忆一下,刚开始的安装路径为administrator,会不会cuppa安装到administrator目录下了?

继续尝试http://192.168.213.137/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd

成功了,但是没有包含文件

尝试一下用POST传参,成功了,用户条目第二个字段是x,表示密码的哈希保存在/etc/shadow中

读取/etc/shadow,保存三个有哈希的用户

交给john去爆破,试一下w1r3s这个用户

登录命令

sudo ssh w1r3s@192.168.213.137

输入密码后登录成功,有sudo权限

三个ALL代表当前用户有所有的权限,用当前用户开个bash

提权成功,拿到root权限

成功拿到flag

SSH

这里还可以爆破ssh,用hydra破解

总结

渗透要有自己的流程和规划

第一步用工具先进行信息收集,然后拿到了21,22,80,3306这些端口该怎么利用,大致的利用顺序是什么,每个利用点不要死磕,多尝试增加自己的利用面。

  • 21端口FTP:想到的就是匿名登录,审计里面的文件,或者进行目录遍历等
  • 22端口SSH:弱口令爆破,利用hydra等工具
  • 80端口web服务:这个一般都是重点,最有可能成功的地方。进入一个web站点以后先进行常规的漏扫和手工注入等,利用目录扫描工具去扫目录,收集CMS指纹等
  • 3306端口MySQL数据库:弱口令,webshell写入等

参考

「红队笔记」靶机精讲:W1R3S 1.0.1 - 渗透测试思路为王,细节多到即使对于纯萌新也能无感入圈。_哔哩哔哩_bilibili

vulnhub——W1R3S: 1.0.1_w1r3s1.0.1搭建-CSDN博客

posted @ 2026-02-15 18:12  leee0  阅读(12)  评论(0)    收藏  举报