2021-12-03 kali渗透----Raven靶机

本文章仅供学习和参考！

欢迎交流~

目录

一、实验题目：kali渗透----Raven靶机

二、实验内容：

三、环境准备：

四、实验步骤：

1. 信息收集：

（1）端口扫描：

（2）端口服务识别：

2. 漏洞查找与利用：

（1）打开msfconsole：

（2）输入search ssh ：

 （3）选择 auxiliary/scanner/ssh/ssh_enumusers，设置信息并扫描：

 （4）分析扫描结果，找出可能的用户：

（5）然后制作一个用户名字典，创建字典的步骤如下：

（6）使用hydra破解ssh：

 （7）使用爆破出来的michael账户远程登录：

（8）查看是否能用sudo提权：

 （9）切换到/var/www/html目录下：

（10）查看wp-config.php，发现mysql用户名以及密码root/R@v3nSecurity：

（11）查看开放的端口，发现开放3306，但是发现MySQL只允许本地登录：

3. 绕过限制sudo提权：

（1）尝试mysql登录：

 （2）查看版本，以及数据库：

（3）查看表：

 （4）查看表中的内容，发现用户名michael和steven，以及对应的密码的hash值：

（5） 对这两个密码的hash值在线解密：

（6）尝试使用刚刚解密的密码进行steven远程：

（7）使用 sudo python -c ‘import pty;pty.spawn("/bin/bash")’绕过限制，获得管理员权限：

4. wpscan扫描worpress cms：

（1）dirb扫描：

（2）发现 http://靶机IP/wordpress/

（3） 尝试用wpscan扫描wordpress：

5. PHPMailer远程代码执行getshell：

（1）发现http://靶机IP/vendor/：

（2） 访问http://靶机IP/vendor/PATH，发现当前路径：

（3） 访问http://192.168.112.137/vendor/VERSION，猜测可能是PHPMailer的版本：

（4） 利用searchsploit PHPMailer查看是否有漏洞，发现有漏洞利用脚本：

（5）修改 exp：

（7）访问 http://靶机IP/contact.php

 （8）Kali开启监听：

 （9）访问后门文件：http://靶机IP/shell.php

（10）监听成功：

 （11）尝试提权（方法同上）：

---

一、实验题目：kali渗透----Raven靶机

二、实验内容：

1. 信息收集

2. ssh爆破

3. 绕过限制sudo提权

4. wpscan扫描worpress cms

5. PHPMailer远程代码执行getshell 

三、环境准备：

1. kali虚拟机：（IP：192.168.112.130）

2. Raven靶机：（IP：192.168.112.137）

四、实验步骤：

1. 信息收集：

（1）端口扫描：

方式一：
    命令：nmap -sS 靶机IP
方式二：
    命令：masscan 靶机IP -p 0-65535 --rate=10000



补充：
查找某个网段中的活跃主机：
    命令：nmap 网段

（2）端口服务识别：

命令：nmap -O -T4 -sV -p 端口 靶机IP

2. 漏洞查找与利用：

        22端口（OpenSSH 6.7p1）：

        利用msf中auxiliary/scanner/ssh/ssh_enumusers模块枚举ssh用户

（1）打开msfconsole：

（2）输入search ssh ：

 （3）选择 auxiliary/scanner/ssh/ssh_enumusers，设置信息并扫描：

 （4）分析扫描结果，找出可能的用户：

（5）然后制作一个用户名字典，创建字典的步骤如下：

       创建用户名字典并编辑：

 

        编辑完成后，查看字典内容：

 

（6）使用hydra破解ssh：

        密码字典采用rockyou.txt文件：

        将字典复制到/root目录： 

         解压：

        成功爆破出用户名密码：michael/michael

 （7）使用爆破出来的michael账户远程登录：

（8）查看是否能用sudo提权：

 （9）切换到/var/www/html目录下：

（10）查看wp-config.php，发现mysql用户名以及密码root/R@v3nSecurity：

（11）查看开放的端口，发现开放3306，但是发现MySQL只允许本地登录：

3. 绕过限制sudo提权：

（1）尝试mysql登录：

 （2）查看版本，以及数据库：

（3）查看表：

 （4）查看表中的内容，发现用户名michael和steven，以及对应的密码的hash值：

（5） 对这两个密码的hash值在线解密：

 

        只解密出steven的密码pink84

（6）尝试使用刚刚解密的密码进行steven远程：

（7）使用 sudo python -c ‘import pty;pty.spawn("/bin/bash")’绕过限制，获得管理员权限：

4. wpscan扫描worpress cms：

        80端口（Apache httpd 2.4.10）

（1）dirb扫描：

（2）发现 http://靶机IP/wordpress/

（3） 尝试用wpscan扫描wordpress：

命令：wpscan --url http://靶机IP/wordpress/ -e u

        可获得michael和steven两个用户，Wordpress后台无法远程访问，并且当前版本的wordpress没有什么可以利用的漏洞，所以暂时放弃wordpress

5. PHPMailer远程代码执行getshell：

（1）发现http://靶机IP/vendor/：

（2） 访问http://靶机IP/vendor/PATH，发现当前路径：

（3） 访问http://192.168.112.137/vendor/VERSION，猜测可能是PHPMailer的版本：

（4） 利用searchsploit PHPMailer查看是否有漏洞，发现有漏洞利用脚本：

（5）修改 exp：

        下载文件：

         使用vim命令进行修改：

（6）运行40974.py文件

命令：python 40974.py

（7）访问 http://靶机IP/contact.php

 （8）Kali开启监听：

 （9）访问后门文件：http://靶机IP/shell.php

（10）监听成功：

 （11）尝试提权（方法同上）：

        绕过限制，获取管理员权限：

        查看 wp-config.php文件

         发现mysql用户名及密码：root/R@v3nSecurity

         尝试musql登录：mysql -u root -p

         查看版本，以及数据库：

        查看表：

         查看表中的内容，发现用户名michael和steven以及对应的密码hash值：

        对这两个密码尝试解密：

         尝试用steven远程登录：

        绕过限制，获取管理员权限：