登录/ 注册
 找回密码
 立即注册
关闭

CSDN热搜

豆瓜网 精品问答 技术交流 资源下载
返回列表 发新帖
首页 业界区 安全 Prime1靶机WP

Prime1靶机WP

别萧玉 2025-7-16 16:34:44
下载地址:https://download.vulnhub.com/prime/Prime_Series_Level-1.rar
wfuzz fuzz测试
文件包含
wordpress
nmap:
开放了80,22
详细扫描和脚本扫描无特殊信息,有wordpress博客
web渗透

访问80端口
扫描目录
1.png

先看secret.txt
2.png

看到这种场外的对话肯定是重要线索,优先对待
这里明确说了,在php上做fuzz测试,测试参数,从而得到location.txt
当有指定包含文件名时测试应该更快
目前用dirb和gobuster扫出来的php文件有
  1. http://10.10.10.133/index.php
  2. http://10.10.10.133/wordpress/xmlrpc.php
  3. http://10.10.10.133/wordpress/index.php
  4. http://10.10.10.133/wordpress/wp-admin/index.php
  5. http://10.10.10.133/wordpress/wp-content/index.php
  6. http://10.10.10.133/wordpress/wp-admin/network/admin.php
  7. http://10.10.10.133/wordpress/wp-admin/network/index.php
  8. http://10.10.10.133/wordpress/wp-admin/user/admin.php
  9. http://10.10.10.133/wordpress/wp-admin/user/index.php
  10. http://10.10.10.133/wordpress/wp-content/plugins/index.php
  11. http://10.10.10.133/wordpress/wp-content/themes/index.php
  12. /image.php
复制代码
根据场外给出的secret.txt的位置,合理推测php应该在相近的地方
开始fuzz测试
wfuzz居然不能在terminator上正常运行,只能回到原生shell
看来以后运行新工具报错要记得回kali原生shell试试
不能确保hint中location.txt一定是包含文件的意思,依旧用test
wfuzz模糊测试的参数字典推荐用:
/usr/share/Seclists/Discovery/Web-Content/burp-parameter-names.txt
要自己下,用wfuzz自带的common.txt扫的不是很全:
  1. git clone https://github.com/danielmiessler/SecLists.git
复制代码
  1. wfuzz -u http://<url>?FUZZ=test -w /usr/share/Seclists/Discovery/Web-Content/burp-parameter-names.txt --hh 0
复制代码
3.png

扫出了三个参数:preview,s,tb
这里FUZZ=location.txt和FUZZ=test速度差不多(或许要快一点?)
三个参数包含location.txt无效
--------------(卡了一会)-------------------------
一个血泪教训,wfuzz的输出屏蔽最好别用hc屏蔽状态码,特别是本来所有输出都是200的时候,这是可能试出来的参数也是这个状态码,刚才扫ip/index.php时随手屏蔽了,一般还是屏蔽返回长度就好
4.png

那这里有个file参数
5.png

这就包含出来了
接下来用这个指定参数fuzz测试包含的文件
指定参数:secrettier360
尝试使用这个字典:
/usr/share/seclists/Fuzzing/LFI/LFI-Jhaddix.txt
这是专门为本地文件包含(LFI)准备的,包含 /etc/passwd、../ 穿越、log、proc、php://input 等经典 payload。
适用于 fuzz 参数值时尝试包含系统文件。
不得不说这个靶机,每一次FUZZ测试都要花不少时间,而且不敢保证用的字典一定能够包含目标参数,不过应该实战环境也会这样吧
6.png

看起来很有趣,返回了不同的长度,一些系统文件的payload会有反应
(不得不说这个工具和字典测文件包含好用,下次遇到相关漏洞试试,减少手测时间成本)
7.png

果然成功包含
  1. root:x:0:0:root:/root:/bin/bash
  2. daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
  3. bin:x:2:2:bin:/bin:/usr/sbin/nologin
  4. sys:x:3:3:sys:/dev:/usr/sbin/nologin
  5. sync:x:4:65534:sync:/bin:/bin/sync
  6. games:x:5:60:games:/usr/games:/usr/sbin/nologin
  7. man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
  8. lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
  9. mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
  10. news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
  11. uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
  12. proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
  13. www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
  14. backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
  15. list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
  16. irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
  17. gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
  18. nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
  19. systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
  20. systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
  21. systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false systemd-bus-proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false s
  22. yslog:x:104:108::/home/syslog:/bin/false _apt:x:105:65534::/nonexistent:/bin/false messagebus:x:106:110::/var/run/dbus:/bin/false
  23. uuidd:x:107:111::/run/uuidd:/bin/false
  24. lightdm:x:108:114:Light Display
  25. Manager:/var/lib/lightdm:/bin/false
  26. whoopsie:x:109:117::/nonexistent:/bin/false
  27. avahi-autoipd:x:110:119:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false
  28. avahi:x:111:120:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
  29. dnsmasq:x:112:65534:dnsmasq,,,:/var/lib/misc:/bin/false
  30. colord:x:113:123:colord colour management daemon,,,:/var/lib/colord:/bin/false
  31. speech-dispatcher:x:114:29:Speech Dispatcher,,,:/var/run/speech-dispatcher:/bin/false
  32. hplip:x:115:7:HPLIP system user,,,:/var/run/hplip:/bin/false
  33. kernoops:x:116:65534:Kernel Oops Tracking Daemon,,,:/:/bin/false
  34. pulse:x:117:124:PulseAudio daemon,,,:/var/run/pulse:/bin/false
  35. rtkit:x:118:126:RealtimeKit,,,:/proc:/bin/false saned:x:119:127::/var/lib/saned:/bin/false
  36. usbmux:x:120:46:usbmux daemon,,,:/var/lib/usbmux:/bin/false
  37. victor:x:1000:1000:victor,,,:/home/victor:/bin/bash
  38. mysql:x:121:129:MySQL Server,,,:/nonexistent:/bin/false
  39. saket:x:1001:1001:find password.txt file in my directory:/home/saket:
  40. sshd:x:122:65534::/var/run/sshd:/usr/sbin/nologin
  41. guest-jpx96j:x:999:999:Guest:/tmp/guest-jpx96j:/bin/bash
复制代码
根据这台靶机不断场外提示的风格,果然会在配置文件中夹带信息
8.png

这大概就是saket用户的ssh凭据,如果不成再碰撞
尝试ssh连接
密码:follow_the_ippsec
居然真的不能连接,那可能就是saket用户存了别的用户的密码
ctrl+F搜索bash,有三位用户
尝试ssh连接均失败
看来也可能是存的web中的密码,用户名为saket或者admin的可能性最大
之前扫到过wordpress的login页面,如果能进入后台想办法getshell应该也是可行的
尝试登录,用户名是victor,登录成功
成功进入wordpress的后台
先wpscan简单扫一下
  1. wpscan --url http://10.10.10.133/wordpress
复制代码
有很多有趣的发现,总之应该比较容易利用
版本号5.2.2与源码中一致
searchsploit了该版本,发现只有xss和dos相关脚本
在谷歌查一下,一般都是在讲xss
暂时没有办法直接利用,先进去大致看看
还是按照这个靶机场外多次干涉的风格,理应推测这次又在后台藏了点什么
9.png

果然在appearance 找到一个secret.php
10.png

上面提示说我终于找到了可写文件
确实,渗透后台有时的确不需要漏洞,只要配置不当就行,以后要注意,由于这是学习性靶机,也在提醒我们日后要注意appearence
写入反弹shell,监听
之前扫到了upload目录
看来不是这个目录:
11.png

触发方式应该是选择这个文件对应的外观
12.png

回到wpscan的结果,发现
13.png

当时给出了这样一个关于twenty ninteen的路径,之前
14.png

这里是有目录结果的,于是先拿Inc目录做验证
15.png

那它的上一级就确实是secret.php所在的位置了,直接访问触发反弹shell
提权

sudo -l:
16.png

通过查看权限和枚举,没找到利用的方法
uname -a:kernel 4.10.0,ubuntu16.04
据此锁定
17.png

这个脚本值得一试
18.png

19.png

心得:
对wpscan及wordpress的后台更熟悉了
学习wfuzz的使用,以及选中了合适的字典,以后任意文件读取可以一用
这种靶机比较锻炼实战环境的耐心
打靶机的过程中,要感受这台机器的风格,如这台靶机喜欢以场外的口吻提示,那么接下来出现非漏洞的提示重要线索的概率就很高
提权时有一个sudo和crontab有一个定时任务,但是无法利用,这时不能在用之前枚举出东西必有用的思路判断,要谨慎评估


来源:豆瓜网用户自行投稿发布,如果侵权,请联系站长删除
Prime1靶机WP

使用道具 举报

相关推荐
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册
发帖
别萧玉
2025-7-16 16:34:44

0

粉丝关注

16

主题发布

板块介绍填写区域,请于后台编辑
微信扫一扫