Vulnhub之prime-1靶场[渗透测试]

靶机下载地址:

        https://www.vulnhub.com/entry/prime-1,358/

前言:

        将下载好的靶场导入VMware,虚拟机设置网络模式为nat模式,即可开启渗透

信息收集:

        首先发现靶场IP地址 首先找到自己的IP地址,对自己的IP地址网段进行扫描,这里我们使用Nmap

发现靶场地址为192.168.174.130,再次使用nmap扫描端口 

 我们发现靶场仅仅开启了22端口ssh,和80端口http,我们直接访问网站看看

接着我们查看源代码后并没有发现什么有用的东西,可以使用dirb扫描一下目录

扫描出来了很多目录,我们可以发现该网站框架是wordpress[我们也可以使用kali中的cmseek],接着我们访问一下/dev目录看看有没有发现

上面的意思大概就说 我现在在最低层 而他在web最高处,我们可以发现dirb普通扫描并没有给我们带来很多有价值的东西,我们现在开始单独扫描php,txt,zip等文件看看有没有什么关键信息

参数-X .php,.txt,.zip,我们发现了image.php,index.php,secret.txt

访问secret.txt 叫我们使用wfuzz来进行fuzz测试,并且叫我们看location.txt

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.174.130/index.php?FUZZ=location.txt

我们发现会有很多 可以尝试过滤一下 例如lines/words/chars这里我选择过滤lines 使用参数hl

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hl 7 http://192.168.174.130/index.php?FUZZ=location.txt

我第一次fuzz的php页面是image.php,但是后面并没有效果,所以我直接忽略了这一步

 在浏览器输入http://192.168.174.130/index.php?file=location.txt有回显

 叫我使用参数secrettier360下一个php页面,这次无非就是image.php了

输入参数secrettier360后页面的出现了回显,叫我输入正确的参数,我们在secrettier360上添加一些参数,我先使用location.txt看看

没有反应 输入/etc/passwd有了回显

 审计/etc/passwd文件我们发现一个password.txt文件在/home/saket通过文件包含我们可以进一步看看里面有什么东西/home/saket/password.txt

 出现了一个密码,可能是ssh,也可能是wordpress

 首先尝试是否是wordpress进行渗透,所以我们使用wpscan扫描一下用户

wpscan --url http://192.168.174.130/wordpress -e

 找到用户名victor接着登录网站

找到此页面 在Plugins里面修改akismet.php的内容,然后拿到shell 

kali切换到webshell目录找一个shell木马php格式

 修改木马中的ip地址,端口等

 然后复制到index.php 本地kali使用msf

发现失败了,最后发现secret.php可以修改内容,因此我们直接修改为webshell

 接着我们访问此页面,这个时候kali已经拿到了webshell了

 进入shell过后我们打算优化一下终端,输入参数python -c 'import pty;pty.spawn("/bin/bash")'

 接着我们开始提权，输入sudo -l发现有可利用的地方

 切换到/home/saket/目录查看一下里面的文件,发现enc并没有访问权限,我们可以看看该系统版本是否可以内核提权

 该版本为4.10.0-28-generic使用searchsploit发现还正好有一个内核提升权限的脚本我们下载下来利用一下,searchsploit -m进行下载

 接着使用gcc编译成可执行文件即可

 接着把文件上传到渗透机中,本机开启网站[使用msf upload也可以]

 攻击机wget下载

赋值权限chmod +x,并且执行文件

 最后我们得到root权限