vulnhub靶场Prime1

记录一下自己第一次打VulnHub靶场

靶机地址：Prime：1 ~ VulnHub

一、信息搜集

kali和Prime1靶机都在同一网段，kali设置的是192.168.221.130.

nmap扫描IP和端口：

-sL  列表扫描，只列出网段所有IP，不检测是否存活

-sP  Ping扫描，通过ICMP请求检测主机是否存活

-sS TCP SYN 扫描（半开放扫描），用于检测开放端口。

-Pn 跳过 Ping 扫描，强制扫描所有 IP（适用于防火墙禁 Ping 的场景）。

-p-  扫描1-65535所有端口   -p  20-100  可指定端口扫描范围。

-F 扫描nmap认为的常用100个端口

-sV 扫描端口同时附带服务器版本信息

1. 确定靶机IP

2.端口扫描

3. 网站目录扫描

有80端口，可以访问下网站看看。

再扫描一下网站的目录看看有没有可用的信息。

kali目录扫描：dirb，dirsearch,wfuzz,MSF等都可以

看到了wordpress，搜了一下发现这是搭建个人博客用的，可能会存在漏洞。

再访问一下dev和index.php两个网页看看。

 

 

没啥信息，再扫一下看有没有特殊的文件比如txt,zip,php等

 还真有，image.php和secret.txt ,再访问一下试试

 看到提示，对php文件做一下fuzz,使用kali的wfuzz尝试一下。

wfuzz -c -z file,/usr/share/dirb/wordlists/common.txt http://example.com/FUZZ

-c 彩色输出

-z 指定字典

wfuzz -c -z file,/usr/share/dirb/wordlists/common.txt http://192.168.221.133/index.php/FUZZ

 扫描结果太多，需要过滤一下

• --hl 7：过滤行数量为 7 的响应；
• --hw 12：过滤单词数为 12 的响应；
• --hs 136：过滤字节数为 136 的响应。  --hsc  136 :过滤字符数为136的响应

wfuzz -w /usr/share/dirb/wordlists/common.txt --hw 12 http://192.168.221.133/index.php?FUZZ

得到参数file，可能会有文件包含漏洞，尝试一些可能的文件名。

location.txt   /etc/passwd   /etc/shadow(加密密码)   /etc/hosts（域名解析配置）   /proc/self/environ（当前进程环境变量）

C:\Windows\System32\drivers\etc\hosts（域名解析文件）、C:\Windows\system.ini（系统配置文件） 、C:\boot.ini（系统启动配置文件，用于多系统启动场景）。

在其他php页面尝试secrettier360 这个参数。

就两个php页面，index.php和image.php

获取到了正确参数“secrettier360 ”，但是我们需要参数值，只能用常见的敏感文件路径爆破尝试一下。

获得password.txt路径。访问一下试试

获取了一个密码，follow_the_ippsec,靶机的开机页面输入这个密码打不开，说明是别的地方的密码。

前面咱还发现了一个 wordpress

登录页面

 账号 victor,密码follow_the_ippsec  成功登录了进去。 

二、漏洞探测

从网上搜索，发现wordpress可能存在文件上传漏洞，在这里面找找看有没有可以上传代码或者文件的地方。

找到了这个php文件，可以上传自己的恶意代码。 

三、漏洞利用

使用MSF生成一个木马。

粘贴到网页中并提交。（记得把火绒安全之类的软件关掉）

从网上搜索一下这个secret.php的文件路径，

wordpress/wp-content/themes/twentynineteen/secret.php

先用msf监听这个端口

再访问那个php文件

反弹连接成功

四、权限提升

查看版本信息

 使用msf查询对应版本的漏洞利用脚本

 

找到以后，编译并上传 

 

 

上传到tmp文件夹内是因为所有用户都可以写入这个文件 

结果发现没办法执行

用shell提权即可获得root权限

后面输入

chmod +x 45010

./45010

 即可提权成功。 

若./45010执行不了，是kaliGcc版本太高，需要换旧版的。