你不知道的靶场实战1-prime1

一.信息收集

Prime_1

目标，获取靶机root权限

开启之后，得到用户名victor，但是不知道密码(是需要我们自己提取权限)

可以看到一个提示，find password.txt file in my directory

1.主机发现和端口扫描

可以知道这台主机的网段

C段地址

192.168.200.0/24 (子网掩码24表示最后8位是不确定的)

Namp -sP 192.168.200.1/24(用Ping的方式进行扫描)

由此可以确定目标为192.168.200.129

也可以看看MAC地址，发现完全吻合

也可以用 arp-scan -l

或者 netdiscover -I eth0 -r 192.168.200.1/24

再进行端口扫描，确定其运行的程序

Nmap -p 1-65535 -A 192.168.200.129，发现22和80端口

先从80端口开始

访问一下

就一张图片
需要目录扫描

看看，看来需要进一步挖掘

则进行更加具体的目录扫描，加了扩展名

FUZZ指http://192.168.200.129/index.php的后面或许还有参数比如?parm=…

可以用来找参数、目录扫描、密码暴力破解、找出被过滤的关键字、压力测试

7L是HTTP响应内容的行数

12W是有多有个词，包括空格

136Ch指有多少字符

那么需要过滤一些参数，可以得到不同的结果，可能就是需要找的内容

得到一个file参数，提示文件名不对

想起了本地文件包含漏洞

如果想得到正确的文件名，可以继续FUZZ

但是也有前面的提示

用 secrettier360 这个参数，在别的php文件里面FUZZ下

但是，文件名是啥呢？

这是一个Ubantu的操作系统，它常见的敏感文件有哪些呢？

/etc/password

有点乱，在kali里面看看

但是密码都是x，真正的密码，在/ect/shadow里面的，这里，/etc/shadow是不能访问的

这个时候，仔细看

这不是这个提示吗？

得到字符串 follow_the_ippsec

但，这个密码是在web里面找到的，是什么的密码呢？

不是系统的登录密码，排除SSH

刚才不是扫出来了一个 Wordpress吗？

找到登录框，进行登录

问题又来了，现在知道密码，那用户名是啥呢？

可以用工具cmseek，是一个指纹识别工具，附带用户枚举的功能

但是，这里没有出现

用wpscan

找到用户victor

那就得到wordpree的用户名 victor 密码 follow_the_ippsec

进入wordpress管理系统

找到主题编辑器

找到一个可以写入并且保存的地方

二.渗透测试

这里可以写一句话木马，也可以建立反弹连接

kali开启msf

更新msf

先 apt-get update

再 apt-get install metaspolit-framework

先用msfvenom生成反弹连接的php代码

然后把里面的代码，复制，并且保存

然后在kali机上监听端口

然后我们需要访问这个地址

地址 ​​http://192.168.200.129/wordpress/wp-content/themes/twentynineteen/secret.php​​

连接成功

下面就是如何提权，然后得到root用户的权限

看看这个操作系统本身有没有漏洞，可以在msf上可以实现

用这个漏洞，可以直接成为root用户，并且也有一个现成的C语言脚本可以利用

这个文件在 /linux/local/45010.c

即 /usr/share/exploitdb/exploits/linux/local

拷贝到/home/kali目录下

编译

然后利用meterpreter 的 upload命令，把攻击机的文件传到靶机上面去，选择tmp目录是因为，任何用户都有它的权限

但是需要给45010执行的权限

利用shell，进入shell程序

最后执行

执行脚本的时候，出现了问题

那就自己安装一个低版本的kali，编译这个文件再试试(kali-2021.4)

那么就在这台kali上继续复现了

然后又失败了，我又安装了，kali-2019，还是失败

这个时候，需要回去想想是不是，prime1机器的问题了

我回去看了一下，果然是，内核版本，变了，原因不知道为啥

需要重新安装一次 prime

现在可以了，用kali 2019 编译的，放在kali 2022上面运行，成功提权

进入root，看看关键文件信息

有时候，出了问题，不知道错在哪里的时候，一定要回头看看!!!