一、靶機下載

下載鏈接：https://download.vulnhub.com/raven/Raven.ova

二、Raven靶機搭建

將下載好的靶機環境，用VMware導入即可使用，文件->打開


導入到合適位置即可，默認是C盤，成功導入虛擬機之后，打開即可

三、攻擊過程

kali IP：192.168.212.129
靶機IP：192.168.212.4

1、主機發現

nmap -sn 192.168.212.0/24

二、端口掃描

第一種方法：nmap -sS 192.168.212.4

第二種方法：masscan 192.168.212.4 -p 0-65535 --rate=10000

三、端口服務識別

nmap -O -T4 -sV -p 22,80,111,33298 192.168.212.4

四、漏洞查找與利用

22端口(OpenSSH 6.7p1)

當前版本存在用戶枚舉漏洞,利用msf中auxiliary/scanner/ssh/ssh_enumusers模塊枚舉ssh用戶,獲得用戶bin、daemon、games、lp、mail、man、michael、news、nobody、proxy、root、steven、sync、sys、sys/change_on_install、uucp，一看掃描出來那么多用戶,可能存在誤判


set user_file /usr/share/metasploit-framework/data/wordlists/common_roots.txt














排除可能不是用戶，然后制作一個用戶名字典

使用hydra破解ssh,成功破解出michael的密碼michael
密碼字典采用rockyou.txt文件

將字典文件復制到/root目錄并解壓

爆破出用戶名密碼：michael/michael

使用michael賬戶遠程登錄

查看是否能用sudo提權,內核提權等等

切換到/var/www/html目錄下

查看wp-config.php,發現mysql用戶名以及密碼 root/R@v3nSecurity

查看開放的端口,發現開放3306，但是發現MySQL只允許本地登錄

提權方式一

嘗試mysql登錄

查看版本,以及數據庫

查看表

查看表中的內容，發現用戶名michael和steven，以及對應的密碼的hash值

對這兩個用戶密碼的hash值在線解密，只解密出steven的密碼pink84

嘗試使用steven 遠程

使用sudo python -c ‘import pty;pty.spawn("/bin/bash")’ 繞過限制，獲得管理員權限

提權方式二——Mysql udf提權

查看mysql的運行權限,可以看到為root，mysql的版為5.5.60,可以利用mysql udf提權

注意：
ps -ef是以全格式顯示當前所有的進程
ps是Linux 操作系統中的一個命令，用來查看系統進程的.
該命令語法格式如下：
ps [選項]
下面對命令選項進行說明：
-e 顯示所有進程。
-f 全格式。
-h 不顯示標題。
-l 長格式。
-w 寬輸出。
a 顯示終端上的所有進程，包括其他用戶的進程。
r 只顯示正在運行的進程。
x 顯示沒有控制終端的進程

grep 命令用于查找文件里符合條件的字符串

查看mysql udf漏洞的利用exp，根據上面查找的版本號選擇第二個

將EXP復制到apache根目錄并編譯生成動態鏈接庫文件，方便上傳至靶機


靶機wget下載kali編譯生成的1518.so

靶機連接mysql開始進行提權操作


退出mysql,創建一個文件, 使用“find”程序來執行命令，獲得root權限

80端口(Apache httpd 2.4.10)

dirb掃描
dirb http://192.168.212.4

發現http://192.168.10.169/wordpress/

嘗試用wpscan掃描wordpress
wpscan --url http://192.168.212.4/wordpress/ -e u 獲得michael和steven兩個用戶

-e u默認選項枚舉信息：u 枚舉用戶名，默認從1-10；u[10-20] 枚舉用戶名，配置從10-20
由于wordpress后臺無法遠程訪問,并且當前版本的wordpress沒有什么可利用的漏洞,暫時放棄wordpress

發現http://192.168.212.4/vendor/

訪問http://192.168.212.4/vendor/PATH，發現當前路徑

訪問http://192.168.212.4/vendor/VERSION,猜測可能是PHPMailer的版本

searchsploit PHPMailer查看是否有漏洞,發現有漏洞利用腳本

修改exp

1.頂部加上# -- coding: utf-8 --聲明，否則注釋里一大堆非ASCII字符會報錯
2.修改target為靶機IP地址，利用文件為contact.php
3.修改后門文件路徑名稱
4. 修改反彈shell的地址為nc監聽服務器的ip(KALI主機IP)和端口
5. 運行該python腳本需要安裝對應的包(pip install requests-toolbelt)

python運行腳本，生成了一個利用用文件contact.php
可能報錯，pip安裝所需要的模塊即可



訪問http://192.168.212.4/contact.php，此時就會生成后門文件shell.php

kali開啟監聽,接著訪問后門文件：http://192.168.1.12/shell.php

接下來就是提權了,方式跟上面一樣。

總結

1.信息收集、目錄掃描
2.ssh用戶枚舉、ssh爆破
3.繞過限制sudo提權
4.mysql udf提權
5.wpscan掃描wordpress cms
6.PHPMailer遠程代碼執行getshell

總結

以上是生活随笔為你收集整理的kali渗透综合靶机(十)--Raven靶机的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。