Raven1渗透实战

目录:

1.wordpress爆破用户

2.wp-config得到数据库账号密码

3.ssh连接
4.pythn提权(sudo python -c 'import pty;pty.spawn("/bin/bash")')

主机发现与信息收集

  1. arp-scan l
 
主机发现
  1. nmap -sS -A -p- 192.168.8.127 n
  1.  
 
nmap全端口扫

Web渗透实战

可以先修改一下hosts:

192.168.8.127 raven.local

进入web端,浓浓的wordpress风格

http://192.168.8.127/wordpress/

wordpress爆用户

  1. tipshttp://192.168.8.127/wordpress/?author=n (n=1,2,3,4……)
  2. http://192.168.8.127/wordpress/?author=1

出现用户: MICHAEL (michael)

 
wordpress

找到后台 http://raven.local/wordpress/wp-login.php (michael登录失败)

dir爆目录

出现几个可疑的目录:

http://192.168.8.127/vendor

http://192.168.8.127/wordpress/

继续爆这几个关键目录:

 
dir

看到pop3、phpmail和smtp就能想到应该和邮件有关的,应该是入口

 
dir2

在wordpress中罕见 http://192.168.8.127/service.html 并右键查看源代码

Get到第一个flag:

flag1{b9bbcb33e11b80be759c4e844862482d}

 
flag1

继续浏览爆出来的目录

http://192.168.8.127/vendor/PATH 暴露了系统路径,也许之后会用到

/var/www/html/vendor/

 
path

http://192.168.8.127/vendor/VERSION 暴露了版本信息 5.2.16

 
version

发现http://192.168.8.127/vendor/SECURITY.md 有提示

 
提示

从爆出来的这些目录来看,无疑是在提示从phpmailer入手

这时想到了goldeneye中的pop3服务

Nmap扫出来的端口中没有pop3和smtp服务

只能从22端口ssh入手了

ssh登录

尝试登录ssh,用户名就用wordpress暴露的用户 michael,密码尝试用 michael

  1. ssh michael@192.168.8.127

登录成功,果然提示有邮件mail,然而并没有邮件提示

 
ssh

直接全局搜flag

  1. find / -name "*flag*" 2>/dev/null
 
find flag
  1. cat /var/www/flag2.txt
 
flag2

get第二个flag:

flag2{fc3fd58dcdad9ab23faca6e9a36e581c}

常规提权

  1. netstat a

发现主机开启的端口和服务

 
netstat -a

在靶机的3306端口开启了mysql服务

进入wordpress目录,查看conf配置文件,查看数据库密码

  1. vi wp-config.php
 
wp-config
  1. root / R@v3nSecurity

直接登录靶机的数据库

  1. mysql -u root p
 
mysql

进入wordpress数据中,发现wp_posts表,应该是post数据

  1. select * from wp_posts;

发现了flag3和flag4:

 
flag3-4

flag3{afc01ab56b50591e7dccf93122770cd2}

flag4{715dea6c055b9fe3337544932f2941ce}

查看wordpress数据库中的users表

 
users
  1. michael | $P$BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0
  2. steven | $P$Bk3VD9jsxx/loJoqNsURgHiaB23j7W/

md5解看看

 
somd5

steven 的密码为 pink84

michael的解不出来

拿去登录一下ssh试试

  1. ssh steven@192.168.8.127
 
ssh
  1. sudo l

显示出当前用户的权限,发现可以运行python,直接python提权

  1. sudo python -c 'import pty;pty.spawn("/bin/bash")'
 
python root

得到第四个flag:

 

Raven1渗透实战的更多相关文章

  1. 【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

    /文章作者:Kali_MG1937 CSDN博客ID:ALDYS4 QQ:3496925334/ 内网漫游系列第三期:[渗透实战]记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的 ...

  2. 【渗透实战】那些奇葩的WAF_第二期_无意发现通杀漏洞,空字节突破上传!

    /文章作者:Kali_MG1937 CSDN博客号:ALDYS4 QQ:3496925334 未经许可,禁止转载/ 该博文为本人18年左右的渗透记录,文法粗糙,技术含量极低,流水账文章,且今日不知为何 ...

  3. PowerUp攻击渗透实战

    记录下PowerUp在实战渗透中的利用 准备环境: kali linux 攻击机 已获得靶机meterpreter(非管理)权限 win7 靶机  拥有powershell环境 1)Invoke-Al ...

  4. PowerSploit-CodeExecution(代码执行)脚本渗透实战

    首先介绍一下国外大牛制作的Powershell渗透工具PowerSploit,上面有很多powershell攻击脚本,它们主要被用来渗透中的信息侦察.权限提升.权限维持. 项目地址:https://g ...

  5. Burp Suite渗透实战操作指南-上篇

    Burp必备知识 在介绍功能之前有必要让大家了解一些burp的常用功能,以便在使用中更好的发挥麒麟臂的优势. 1.1  快捷键 很多人可能都没用过burp的快捷键吧,位置如下,不说话,如果不顺手可以自 ...

  6. 【渗透实战】web渗透实战,手动拿学校站点 得到上万人的信息(漏洞已提交)

    ------------恢复内容开始------------ ’‘’版权tanee转发交流学校请备注漏洞已经提交学校管理员关键过程的截图和脚本代码已经略去.希望大家学习技术和思路就好,切勿进行违法犯罪 ...

  7. DC-8靶机渗透实战

    前言: 本文将讲述通过信息收集,再web站点的sql注入漏洞加john爆破登录后台,然后找到远程代码执行漏洞getshell,最后用exim4命令提权漏洞进行权限提升拿到最终的flag. 0x00 环 ...

  8. 【渗透实战】那些年我们遇到的奇葩WAF_第一期_请求方式绕过

    /文章作者:Kali_MG1937 CSDN博客:ALDYS4 QQ:3496925334/ 该博文为本人18年左右的渗透记录,文法粗糙,技术含量极低,流水账文章,且今日不知为何被顶上博客首页 为了避 ...

  9. 【渗透实战】sqlmap_修改tamper脚本_绕过WAF_第三期

    /文章作者:Kali_MG1937 CSDN博客号:ALDYS4 QQ:3496925334/ 今天google找注入点的时候发现某企业一个挺有意思的waf 常规操作绕过去后决定写一篇博客 信息收集 ...

随机推荐

  1. 18V转5V,18V转3.3V,18V转3V稳压芯片,0.01A-3A输出

    18V转5V,18V转3.3V,18V转3V, 18V转5V稳压芯片,18V转3.3V稳压芯片,18V转3V稳压芯片, 18V常降压转成5V电压,3.3V电压和3V电压给其他芯片或设备供电,适用于这个 ...

  2. SEO大杀器rendertron安装

    前段时间做SEO的优化,使用的是GoogleChrome/rendertron,发现这个安装部署的时候还是会有一些要注意的地方,做个记录 为什么要使用rendertron 目前很多网站都是使用 vue ...

  3. 用APICloud开发iOS App Clip详细教程

    App Clip是苹果公司在WWDC20开发者大会上发布的新功能,用户可以只访问应用程序的一小部分,而无需下载整个应用,被称为苹果小程序.本文主要介绍如何通过APICloud开发App Clip. 一 ...

  4. Py层次递进与文件修改大程序,模块,name与file

    层次的递进与返回 #输入quit的时候返回上一阶层,输入exit退出所有的循环 tag=True while tag==True: level1=input('level1:') if level1= ...

  5. (16)-Python3之--集合(set)操作

    1.定义 集合的关键字:set 集合主要作用: 去重,把一个列表变成集合,就自动去重了 关系测试,测试两组数据之前的交集.差集.并集等关系 集合用大括号{}表示,元素间用逗号分隔. 建立集合类型用{} ...

  6. 遍历仓库里的 commit log 替换author

    #!/bin/sh # 遍历仓库里的 commit log, 替换author git filter-branch --env-filter ' an="$GIT_AUTHOR_NAME&q ...

  7. CKafka 架构原理

    消息队列 CKafka 技术原理 - 产品简介 - 文档中心 - 腾讯云 https://cloud.tencent.com/document/product/597/10067 消息队列 CKafk ...

  8. 判断2个list中是否有相同的数据(相交)Collections.disjoint

    https://blog.csdn.net/yang_niuxxx/article/details/85092490 private void initData() { for (int i = 0; ...

  9. .Vue-router跳转和location.href有什么区别

    使用location.href='/url'来跳转,简单方便,但是刷新了页面:使用history.pushState('/url'),无刷新页面,静态跳转:引进router,然后使用router.pu ...

  10. Java并发包源码学习系列:阻塞队列实现之SynchronousQueue源码解析

    目录 SynchronousQueue概述 使用案例 类图结构 put与take方法 void put(E e) E take() Transfer 公平模式TransferQueue QNode t ...