Vulnhub靶场——Raven1练习
2024-5-26 13:58:2 Author: www.freebuf.com(查看原文) 阅读量:2 收藏

freeBuf

信息收集

arp-scan扫描存活ip,确认目标机器的ip为192.168.78.144,开放端口有22、80、111

arp-scan -l

namp扫描开放端口

nmap -sT -T4 -Pn 192.168.78.143

外网打点

访问80端口的网页,在在/server.html页面源代码处发现了flag1

f1ag1{b9bbcb33e11b80be759c4e844862482d
image-20240520214455356.png
dirsearch扫一下目录,发现了以下存活目录,确认存在wordpress
image-20240520205956086.png
利用kali自带的wpscan进行扫描

wpscan --url http://192.168.78.143/wordpress -eu

找到了两个用户名分别为steven和michael
image-20240524215036222.png

漏洞利用

将用户名制作成一个字典(user.txt),密码就用hydra自带的密码字典
自带的密码字典路径如下:/usr/share/wordlists/rockyou.txt
我这里的rockyou.txt一开始是被压缩的,解压一下就行。

gzip -d rockyou.txt.gz

image-20240524221700283.png

hydra -l michael -P password.txt 192.168.78.143 ssh

利用hydra进行爆破,得出用户名michael,密码michael。
image-20240525121349095.png
利用ssh进行登录(这里我尝试两个用户名放在一个user.txt文件进行爆破,发现爆破速度很慢。于是便指定用户名依次进行爆破)
利用find命令在找到flag2所在位置/var/www/flag2.txt
flag2{fc3fd58dcdad9ab23faca6e9a36e581c}

find / -name flag*

image-20240524234839241.png
image-20240524234905854.png
查看/var/www/html/wordpress下的wp-config.php文件,发现mysql的用户名和密码
root/R@v3nSecurity
image-20240524235401091.png
在wordpress数据库下的wp_posts表下找到了flag3和flag4
flag3{afc01ab56b50591e7dccf93122770cd2}
flag4{715dea6c055b9fe3337544932f2941ce}
image-20240524235703777.png

权限提升

先看下michael用户的sudo和SUID。发现没有可以利用的提权点。
在wordpress数据库下的wp_users表中找到两个用户的密码,这里是加密后的
image-20240526132831718.png
将密码进行md5解密,得到明文密码。pink84
image-20240526133057878.png
登录steven用户,查看steven用户的sudo权限,发现有python的sudo权限
image-20240526133656699.png

sudo python -c 'import os; os.system("/bin/sh")'

成功提权
image-20240526133755038.png~~~~

已在FreeBuf发表 0 篇文章

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/articles/web/401893.html
如有侵权请联系:admin#unsafe.sh