前言:
本篇文章记录了靶场prime的打靶过程,包括如何渗透、getshell和提权等环节。小星认为,此次打靶过程极具挑战性和趣味性,期待各位读者与小星交流探讨。
prime靶场下载地址:
https://download.vulnhub.com/prime/Prime_Series_Level-1.rar
01 渗透过程
1. 对当前网段进行扫描,发现存活主机,确认192.168.90.30为靶机地址。
nmap -sn 192.168.90.0/24
![](http://dingyue.ws.126.net/2023/0330/60e5e899j00rsb82i006wd000v9009lp.jpg)
2. 对靶机进行全端口扫描,发现靶机只开放了22和80端口。
nmap --min-rate 10000 -p- 192.168.90.39
![](http://dingyue.ws.126.net/2023/0330/fc250bc6j00rsb8300063d000v900a5p.jpg)
3.对22和80端口进行tcp扫描。
nmap -sT -sV -O -p22,80 192.168.90.39
![](http://dingyue.ws.126.net/2023/0330/ffb95262j00rsb83e007od000v900c7p.jpg)
4.使用nmap自带的脚本进行漏洞扫描,返回结果显示80端口的web服务存在wordpress 以及CVE-2007-6750漏洞。
nmap --script=vuln -p22,80 192.168.90.39
![](http://dingyue.ws.126.net/2023/0330/e6224029j00rsb83v009id000v900krp.jpg)
5. 访问网站后发现不存在有用的信息,所以先对网站进行目录扫描,再使用dirsearch和御剑进行扫描。
![](http://dingyue.ws.126.net/2023/0330/4c222527j00rsb84d0034d000v9006tp.jpg)
![](http://dingyue.ws.126.net/2023/0330/dbfaf464j00rsb84d0059d000v900b8p.jpg)
6. 访问/dev,系统提示我们需要挖掘web。
![](http://dingyue.ws.126.net/2023/0330/2f87a3b3j00rsb84w001ld000v9009ip.jpg)
7. 访问secret.txt,系统提示对每一个目录进行fuzz,并在最下方提示了出现一个location.txt文件。
![](http://dingyue.ws.126.net/2023/0330/a64817b2j00rsb859004ad000v900d4p.jpg)
8. 分别对image.php和index.php进行fuzz。
![](http://dingyue.ws.126.net/2023/0330/6eab643cj00rsb85v0085d000v900ewp.jpg)
9.系统返回多个结果,此处针对字符进行过滤,发现在index.php中存在参数file。
![](http://dingyue.ws.126.net/2023/0330/82384d3aj00rsb86b005sd000v900bhp.jpg)
10. 访问http://192.168.90.39/index.php?file=test,页面提示正在挖掘错误文件。此处尝试文件读取,但结果失败了。
![](http://dingyue.ws.126.net/2023/0330/c6fe1927j00rsb86q00cod000v900m9p.jpg)
11. 改换为刚才提示的location.txt,txt文件提示此处出现另外一个名为secrettier360的参数,并且让我们在其他页面上进行测试。
![](http://dingyue.ws.126.net/2023/0330/0ad08e36j00rsb87600e8d000v900onp.jpg)
12.使用参数secrettier360在image.php进行测试,读取/etc/passwd成功。但是存在文件包含漏洞,测试不存在远程文件包含,因此无法直接getshell。而在passwd文件中发现用户victor和saket存在bash权限,其中saket用户提示password.txt在/home/saket/的目录之下。
![](http://dingyue.ws.126.net/2023/0330/8ba49a86j00rsb87q00hyd000v900nhp.jpg)
13. 利用包含漏洞的文件读取password.txt文件以获取密码。
![](http://dingyue.ws.126.net/2023/0330/71249dd8j00rsb88b002sd000v90064p.jpg)
14.直接使用获取到的密码尝试ssh,但登录失败。
![](http://dingyue.ws.126.net/2023/0330/97bce766j00rsb88u004qd000v900aop.jpg)
02 getshell过程
此前我们已经了解到这个网站是由wordpress搭建的,现在尝试使用这个密码进入管理后台。如果能够成功进入后台,后续的getshell就相对容易了。
1. 使用wpscan进行扫描,扫描结果显示版本、可用模版和用户。
![](http://dingyue.ws.126.net/2023/0330/f2019234j00rsb89f008sd000v900f7p.jpg)
2. 访问后台,使用用户名为victor和密码follow_the_ippsec尝试登录。
![](http://dingyue.ws.126.net/2023/0330/6e67b530j00rsb89y002kd000v900i8p.jpg)
3. 成功进入后台,并进行getshell。从网上搜索出来的常规方法是上传主题和修改模版来getshell。此处尝试上传主题,但getshell失败。
![](http://dingyue.ws.126.net/2023/0330/b7462498j00rsb8ad003wd000v900ctp.jpg)
4. 对webshell进行压缩并上传,上传失败提示为“没有写入的权限”。
![](http://dingyue.ws.126.net/2023/0330/10d40d5aj00rsb8ar000ud000v9006zp.jpg)
5.修改模版后,getshell成功。
03 提权过程
1. 进入后台,依次点击Appearance-->Theme Editor,发现很多php文件没有权限修改,但最终找到了可以写入secret.php。于是,在此直接写入反弹shell的php代码。
![](http://dingyue.ws.126.net/2023/0330/0ed09303j00rsb8bl0081d000v900f3p.jpg)
2. 修改成功后,访问:
http://192.168.90.39/wordpress/wp-content/themes/twentynineteen/secret.php。
![](http://dingyue.ws.126.net/2023/0330/3356eee8j00rsb8c00010d000rq008up.jpg)
3. nc监听端口,成功反弹一个shell,使用python建立一个交互式shell。
python -c 'import pty;pty.spawn("/bin/sh")'
![](http://dingyue.ws.126.net/2023/0330/bffdbc38j00rsb8cg002vd000v9005yp.jpg)
4. 查看计划任务。
![](http://dingyue.ws.126.net/2023/0330/37f08b81j00rsb8cu006md000v900app.jpg)
5. 查找提权漏洞。前面在反弹shell的时候,已经知道了靶机的系统版本,使用searchsploit搜索提权的漏洞。
![](http://dingyue.ws.126.net/2023/0330/6c607903j00rsb8d9002sd000v9005dp.jpg)
6. 使用45010进行提权,将它下载到当前目录,并利用python开启web服务。
![](http://dingyue.ws.126.net/2023/0330/d4e7e95fj00rsb8dp003wd000v9007fp.jpg)
7. 在靶机中下载45010.c文件。
![](http://dingyue.ws.126.net/2023/0330/8b9f5d98j00rsb8e3005yd000v90088p.jpg)
8. 使用gcc进行编译,并执行成功提权到root权限。
![](http://dingyue.ws.126.net/2023/0330/d3f87cc1j00rsb8ei0089d000v900ihp.jpg)
9. 在/root目录下查看root.txt以获取flag。
![](http://dingyue.ws.126.net/2023/0330/36a0baf2j00rsb8ew001ud000v90058p.jpg)
04 总结
全过程下来,后台getshell和提权是相对容易。难点在于如何进行信息搜集以获取到后台的密码,但此过程也是比较有趣:通过wfuzz来对参数进行fuzz,最后根据提示逐步获取到密码。
05 关于星云博创
星云博创科技有限公司(简称“星云博创”)成立于2016年,是国内新兴的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。星云博创设北京为北方总部,广州为南方总部,并于成都、合肥、南昌、贵州、武汉、太原、哈尔滨等多个城市设立分支机构。同时,星云博创为不断完善客户服务体系和应急响应体系,在全国10余个省、市、自治区、直辖市建立三级服务支持中心,7×24小时接收客户需求,及时提供标准一致的安全服务。
作为一家以技术先导的企业,星云博创始终坚持在网络安全、数据安全、态势感知、等级保护、合规性安全管理等领域进行技术创新,利用安全分析、大数据分析、人工智能等技术,对网络空间安全要素、安全风险进行深度挖掘与关联分析,构建了多层次的纵深防御体系,持续推出态势感知平台、静态脱敏系统、终端安全监测系统等一系列优秀的安全产品和行业解决方案,广泛应用于政府、运营商、医疗、教育、电力、能源等多个领域,让风险无所遁形。
星云博创已获得ISO9001、ISO27001、 ISO20000管理体系认证,CMMI5软件成熟度认证,信息系统安全集成服务、信息安全风险评估服务、软件安全开发服务资质的CCRC二级认证,及安全运维服务资质、应急处理服务资质的CCRC三级认证。此外,星云博创还是国家信息安全漏洞库(CNNVD)技术支撑单位、海南省网络安全应急技术支撑单位、广州市应急联动机构支撑单位。
热门跟贴