靶机地址:https://download.vulnhub.com/raven/Raven.ova
靶机难度:中等
靶机发布日期:2018年5月28日
第一步使用虚拟机打开靶机的镜像,搭建好环境
使用命令arp-scan -l探测到目标靶机的IP地址
扩展:Arp-scan
是一款kali自带的一款轻量ARP扫描工具,该工具会自动解析MAC地址,得到对应硬件厂商。
什么是ARP
地址解析协议(Address Resolution Protocol),根据IP地址获得物理地址MAC的一个TCP/IP协议。
通过ARP,在局域网可以很容易构成一个ARP欺骗,从而得到有用数据信息。
arpscan配合nmap一起效果不错,用nmap扫描目标靶机全部端口,发现开发了22,80,111和331998端口
访问IP,查看robots.txt,robot.txt,404,并没有发现什么有价值的东西
接下来使用kali的dirb爆破目录,发现了wordpress目录,说明网站使用了wordpress建站,所以我们一会可以使用wordpress的克星wpscan来扫描
先访问一下wordpress目录,发现可以登录的地方
*小知识点:wordpress的默认登录界面目录是/wp-login.php
小插曲,看了一眼一开始的源码没想到发现了flag1,应该是作者想培养我们记得查看网络源码的习惯
接下来用wpscan来扫描wordpress目录
命令:wpscan --url http://192.168.1.144/wordpress -e u
扫描到两个用户名,steven和michael,接下来我们使用hydra对michael用户的ssh密码进行爆破,这里我们使用rockyou.txt字典
解压rockyou.txt命令:gzip -d /usr/share/wordlists/rockyou.txt.gz
hydra命令:hydra -l michael -P rockyou.txt 192.168.1.144 ssh
注意要在字典目录下面打开hydra,获得账号密码后登录ssh
尝试了一下sudo提权,发现需要密码,切换目录并查看,命令:cd /var/www/html/wordpress
打开wp-config.php文件发现mysql账号密码,直接mysql -u root -p连上
接下来mysql语法查询数据库,表名,字段名
在wp_users里发现了Steven的hush值,放到MD5解密一下得到密码 MD5免费在线解密破解_MD5在线加密-SOMD5
接下来select一下wp_posts发现flag3和flag4
然后我们切换到steven账号试试能不能提权,先输入quit退出mysql登录,然后命令:su steven切换账号
登录之后直接尝试用python发起一个交换shell,一个非常非常好用的命令
sudo python -c 'import pty;pty.spawn("/bin/bash")'
嘿嘿 提权成功,然后找到flag2.txt,成功拿下这台靶机
若有收获,就点个赞吧
703
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
