本文章仅供学习和参考!
欢迎交流~
目录
(3)选择 auxiliary/scanner/ssh/ssh_enumusers,设置信息并扫描:
(10)查看wp-config.php,发现mysql用户名以及密码root/R@v3nSecurity:
(11)查看开放的端口,发现开放3306,但是发现MySQL只允许本地登录:
(4)查看表中的内容,发现用户名michael和steven,以及对应的密码的hash值:
(7)使用 sudo python -c ‘import pty;pty.spawn("/bin/bash")’绕过限制,获得管理员权限:
(2) 访问http://靶机IP/vendor/PATH,发现当前路径:
(3) 访问http://192.168.112.137/vendor/VERSION,猜测可能是PHPMailer的版本:
(4) 利用searchsploit PHPMailer查看是否有漏洞,发现有漏洞利用脚本:
(9)访问后门文件:http://靶机IP/shell.php
一、实验题目:kali渗透----Raven靶机
二、实验内容:
1. 信息收集
2. ssh爆破
3. 绕过限制sudo提权
4. wpscan扫描worpress cms
5. PHPMailer远程代码执行getshell
三、环境准备:
1. kali虚拟机:(IP:192.168.112.130)
2. Raven靶机:(IP:192.168.112.137)
四、实验步骤:
1. 信息收集:
(1)端口扫描:
方式一:
命令:nmap -sS 靶机IP
方式二:
命令:masscan 靶机IP -p 0-65535 --rate=10000
补充:
查找某个网段中的活跃主机:
命令:nmap 网段
(2)端口服务识别:
命令:nmap -O -T4 -sV -p 端口 靶机IP
2. 漏洞查找与利用:
22端口(OpenSSH 6.7p1):
利用msf中auxiliary/scanner/ssh/ssh_enumusers模块枚举ssh用户
(1)打开msfconsole:
(2)输入search ssh :
(3)选择 auxiliary/scanner/ssh/ssh_enumusers,设置信息并扫描:
(4)分析扫描结果,找出可能的用户:
(5)然后制作一个用户名字典,创建字典的步骤如下:
创建用户名字典并编辑:
编辑完成后,查看字典内容:
(6)使用hydra破解ssh:
密码字典采用rockyou.txt文件:
将字典复制到/root目录:
解压:
成功爆破出用户名密码:michael/michael
(7)使用爆破出来的michael账户远程登录:
(8)查看是否能用sudo提权:
(9)切换到/var/www/html目录下:
(10)查看wp-config.php,发现mysql用户名以及密码root/R@v3nSecurity:
(11)查看开放的端口,发现开放3306,但是发现MySQL只允许本地登录:
3. 绕过限制sudo提权:
(1)尝试mysql登录:
(2)查看版本,以及数据库:
(3)查看表:
(4)查看表中的内容,发现用户名michael和steven,以及对应的密码的hash值:
(5) 对这两个密码的hash值在线解密:
只解密出steven的密码pink84
(6)尝试使用刚刚解密的密码进行steven远程:
(7)使用 sudo python -c ‘import pty;pty.spawn("/bin/bash")’绕过限制,获得管理员权限:
4. wpscan扫描worpress cms:
80端口(Apache httpd 2.4.10)
(1)dirb扫描:
(2)发现 http://靶机IP/wordpress/
(3) 尝试用wpscan扫描wordpress:
命令:wpscan --url http://靶机IP/wordpress/ -e u
可获得michael和steven两个用户,Wordpress后台无法远程访问,并且当前版本的wordpress没有什么可以利用的漏洞,所以暂时放弃wordpress
5. PHPMailer远程代码执行getshell:
(1)发现http://靶机IP/vendor/:
(2) 访问http://靶机IP/vendor/PATH,发现当前路径:
(3) 访问http://192.168.112.137/vendor/VERSION,猜测可能是PHPMailer的版本:
(4) 利用searchsploit PHPMailer查看是否有漏洞,发现有漏洞利用脚本:
(5)修改 exp:
下载文件:
使用vim命令进行修改:
(6)运行40974.py文件
命令:python 40974.py
(7)访问 http://靶机IP/contact.php
(8)Kali开启监听:
(9)访问后门文件:http://靶机IP/shell.php
(10)监听成功:
(11)尝试提权(方法同上):
绕过限制,获取管理员权限:
查看 wp-config.php文件
发现mysql用户名及密码:root/R@v3nSecurity
尝试musql登录:mysql -u root -p
查看版本,以及数据库:
查看表:
查看表中的内容,发现用户名michael和steven以及对应的密码hash值:
对这两个密码尝试解密:
尝试用steven远程登录:
绕过限制,获取管理员权限: