kali渗透综合靶机(十)--Raven靶机
一、靶機下載
下載鏈接:https://download.vulnhub.com/raven/Raven.ova
二、Raven靶機搭建
將下載好的靶機環境,用VMware導入即可使用,文件->打開
導入到合適位置即可,默認是C盤,成功導入虛擬機之后,打開即可
三、攻擊過程
kali IP:192.168.212.129
靶機IP:192.168.212.4
1、主機發現
nmap -sn 192.168.212.0/24
二、端口掃描
第一種方法:nmap -sS 192.168.212.4
第二種方法:masscan 192.168.212.4 -p 0-65535 --rate=10000
三、端口服務識別
nmap -O -T4 -sV -p 22,80,111,33298 192.168.212.4
四、漏洞查找與利用
22端口(OpenSSH 6.7p1)
當前版本存在用戶枚舉漏洞,利用msf中auxiliary/scanner/ssh/ssh_enumusers模塊枚舉ssh用戶,獲得用戶bin、daemon、games、lp、mail、man、michael、news、nobody、proxy、root、steven、sync、sys、sys/change_on_install、uucp,一看掃描出來那么多用戶,可能存在誤判
set user_file /usr/share/metasploit-framework/data/wordlists/common_roots.txt
排除可能不是用戶,然后制作一個用戶名字典
使用hydra破解ssh,成功破解出michael的密碼michael
密碼字典采用rockyou.txt文件
將字典文件復制到/root目錄并解壓
爆破出用戶名密碼:michael/michael
使用michael賬戶遠程登錄
查看是否能用sudo提權,內核提權等等
切換到/var/www/html目錄下
查看wp-config.php,發現mysql用戶名以及密碼 root/R@v3nSecurity
查看開放的端口,發現開放3306,但是發現MySQL只允許本地登錄
提權方式一
嘗試mysql登錄
查看版本,以及數據庫
查看表
查看表中的內容,發現用戶名michael和steven,以及對應的密碼的hash值
對這兩個用戶密碼的hash值在線解密,只解密出steven的密碼pink84
嘗試使用steven 遠程
使用sudo python -c ‘import pty;pty.spawn("/bin/bash")’ 繞過限制,獲得管理員權限
提權方式二——Mysql udf提權
查看mysql的運行權限,可以看到為root,mysql的版為5.5.60,可以利用mysql udf提權
注意:
ps -ef是以全格式顯示當前所有的進程
ps是Linux 操作系統中的一個命令,用來查看系統進程的.
該命令語法格式如下:
ps [選項]
下面對命令選項進行說明:
-e 顯示所有進程。
-f 全格式。
-h 不顯示標題。
-l 長格式。
-w 寬輸出。
a 顯示終端上的所有進程,包括其他用戶的進程。
r 只顯示正在運行的進程。
x 顯示沒有控制終端的進程
grep 命令用于查找文件里符合條件的字符串
查看mysql udf漏洞的利用exp,根據上面查找的版本號選擇第二個
將EXP復制到apache根目錄并編譯生成動態鏈接庫文件,方便上傳至靶機
靶機wget下載kali編譯生成的1518.so
靶機連接mysql開始進行提權操作
退出mysql,創建一個文件, 使用“find”程序來執行命令,獲得root權限
80端口(Apache httpd 2.4.10)
dirb掃描
dirb http://192.168.212.4
發現http://192.168.10.169/wordpress/
嘗試用wpscan掃描wordpress
wpscan --url http://192.168.212.4/wordpress/ -e u 獲得michael和steven兩個用戶
-e u默認選項枚舉信息:u 枚舉用戶名,默認從1-10;u[10-20] 枚舉用戶名,配置從10-20
由于wordpress后臺無法遠程訪問,并且當前版本的wordpress沒有什么可利用的漏洞,暫時放棄wordpress
發現http://192.168.212.4/vendor/
訪問http://192.168.212.4/vendor/PATH,發現當前路徑
訪問http://192.168.212.4/vendor/VERSION,猜測可能是PHPMailer的版本
searchsploit PHPMailer查看是否有漏洞,發現有漏洞利用腳本
修改exp
1.頂部加上# -- coding: utf-8 --聲明,否則注釋里一大堆非ASCII字符會報錯
2.修改target為靶機IP地址,利用文件為contact.php
3.修改后門文件路徑名稱
4. 修改反彈shell的地址為nc監聽服務器的ip(KALI主機IP)和端口
5. 運行該python腳本需要安裝對應的包(pip install requests-toolbelt)
python運行腳本,生成了一個利用用文件contact.php
可能報錯,pip安裝所需要的模塊即可
訪問http://192.168.212.4/contact.php,此時就會生成后門文件shell.php
kali開啟監聽,接著訪問后門文件:http://192.168.1.12/shell.php
接下來就是提權了,方式跟上面一樣。
總結
1.信息收集、目錄掃描
2.ssh用戶枚舉、ssh爆破
3.繞過限制sudo提權
4.mysql udf提權
5.wpscan掃描wordpress cms
6.PHPMailer遠程代碼執行getshell
總結
以上是生活随笔為你收集整理的kali渗透综合靶机(十)--Raven靶机的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【转】前端验证码倒计时、后台发送验证码、
- 下一篇: Fiddler(五)设置代理 HTTPS