kali渗透综合靶机(十)--Raven靶机
kali渗透综合靶机(十)--Raven靶机
一、主机发现
1.netdiscover -i eth0 -r 192.168.10.0/24
二、端口扫描
1. masscan --rate=10000 -p0-65535 192.168.10.169
三、端口服务识别
nmap -sV -T4 -O -p 22,80,111,47642 192.168.10.169
四、漏洞查找与利用
22端口(OpenSSH 6.7p1)
1.当前版本存在用户枚举漏洞,利用msf中auxiliary/scanner/ssh/ssh_enumusers模块枚举ssh用户,获得用户bin、daemon、games、lp、mail、man、michael、news、nobody、proxy、root、steven、sync、sys、sys/change_on_install、uucp,一看扫描出来那么多用户,可能存在误判
2.排除可能不是用户,然后制作一个用户名字典
3.使用hydra破解ssh,成功破解出michael的密码michael
4.使用michael账户远程登录
5.查看是否能用sudo提权,内核提权等等
6.切换到/var/www/html目录下
7.查看wp-config.php,发现mysql用户名以及密码
8.查看开放的端口,发现开放3306
提权方式一:
9.尝试mysql登录
10.查看版本,以及数据库
11.查看表
12.查看表中的内容,发现用户名michael和steven,以及对应的密码的hash值
13.对steven用户密码的hash值在线解密,获得密码pink84
14.尝试使用steven 远程
15.使用sudo python -c 'import pty;pty.spawn("/bin/bash")' 绕过限制,获得管理员权限
提权方式二:
Mysql udf提权
1.查看mysql的运行权限,可以看到为root,mysql的版为5.5.60,可以利用mysql udf提权
2.查看mysql udf漏洞
3.编译
4. 靶机wget下载kali编译生成的1518.so
5.靶机登录mysql,然后按照exp例子做,注意其中dumpfile的路径要根据前面进程(ps -ef|grep mysql)列出来的plugin目录(plugin-dir=/usr/lib/mysql/plugin)改动一下
6.退出mysql,创建一个文件, 使用“find”程序来执行命令,获得root权限
80端口(Apache httpd 2.4.10)
1.dirb扫描
2.发现http://192.168.10.169/wordpress/
2.1尝试用wpscan扫描wordpress
wpscan --url http://192.168.10.169/wordpress/ -e u 获得michael和steven两个用户
2.2由于wordpress后台无法远程访问,并且当前版本的wordpress没有什么可利用的漏洞,暂时放弃wordpress
3. 发现http://192.168.10.169/vendor/
3.1访问http://192.168.10.169/vendor/PATH,发现当前路径
3.2访问http://192.168.10.169/vendor/VERSION,猜测可能是PHPMailer的版本
3.3 searchsploit PHPMailer查看是否有漏洞,发现有漏洞利用脚本
3.4修改exp
1.顶部加上# -*- coding: utf-8 -*-声明,否则注释里一大堆非ASCII字符会报错
2.修改target为靶机IP地址,利用文件为contact.php
3.修改后门文件路径名称
4. 修改反弹shell的地址为nc监听服务器的ip(KALI主机IP)和端口
5. 运行该python脚本需要安装对应的包(pip install requests-toolbelt)
3.5python运行脚本,生成了一个利用用文件contact.php
可能报错,pip安装所需要的模块即可
3.6访问http://192.168.10.169/contact.php,此时就会生成后门文件shell.php
3.7kali开启监听,接着访问后门文件:http://192.168.1.12/shell.php
3.8接下来就是提权了,方式跟上面一样。
总结:
1.信息收集、目录扫描
2.ssh用户枚举、ssh爆破
3.绕过限制sudo提权
4.mysql udf提权
5.wpscan扫描wordpress cms
6.PHPMailer远程代码执行getshell
kali渗透综合靶机(十)--Raven靶机的更多相关文章
- kali渗透综合靶机(十八)--FourAndSix2靶机
kali渗透综合靶机(十八)--FourAndSix2靶机 靶机下载地址:https://download.vulnhub.com/fourandsix/FourAndSix2.ova 一.主机发现 ...
- kali渗透综合靶机(十六)--evilscience靶机
kali渗透综合靶机(十六)--evilscience靶机 一.主机发现 1.netdiscover -i eth0 -r 192.168.10.0/24 二.端口扫描 1. masscan --ra ...
- kali渗透综合靶机(十五)--Breach-1.0靶机
kali渗透综合靶机(十五)--Breach-1.0靶机 靶机下载地址:https://download.vulnhub.com/breach/Breach-1.0.zip 一.主机发现 1.netd ...
- kali渗透综合靶机(十四)--g0rmint靶机
kali渗透综合靶机(十四)--g0rmint靶机 靶机下载地址:https://www.vulnhub.com/entry/g0rmint-1,214/ 一.主机发现 1.netdiscover - ...
- kali渗透综合靶机(十二)--SickOs1.2靶机
kali渗透综合靶机(十二)--SickOs1.2靶机 靶机下载地址:https://www.vulnhub.com/entry/sickos-12,144/ 一.主机发现 1.netdiscover ...
- kali渗透综合靶机(一)--Lazysysadmin靶机
kali渗透综合靶机(一)--Lazysysadmin靶机 Lazysysadmin靶机百度云下载链接:https://pan.baidu.com/s/1pTg38wf3oWQlKNUaT-s7qQ提 ...
- kali渗透综合靶机(十七)--HackInOS靶机
kali渗透综合靶机(十七)--HackInOS靶机 靶机下载地址:https://www.vulnhub.com/hackinos/HackInOS.ova 一.主机发现 1.netdiscover ...
- kali渗透综合靶机(十三)--Dina 1.0靶机
kali渗透综合靶机(十三)--Dina 1.0靶机 一.主机发现 1.netdiscover -i eth0 -r 192.168.10.0/24 二.端口扫描 1. masscan --rate= ...
- kali渗透综合靶机(十一)--BSides-Vancouver靶机
kali渗透综合靶机(十一)--BSides-Vancouver靶机 靶机下载地址:https://pan.baidu.com/s/1s2ajnWHNVS_NZfnAjGpEvw 一.主机发现 1.n ...
随机推荐
- java核心技术第五篇之事务和MVC模式
第一部分:事务1.事务的简介: 1.1 在一组操作中(比如增加操作,修改操作),只有增加和修改操作都成功之后,这两个操作才能真正的成功. ,如果这两个操作中,有一个失败了,这两个操作都失败了. 1.2 ...
- GBT22239-2019等保2.0三级要求
1 第三级安全要求 1.1 安全通用要求 1.1.1 安全物理环境 1.1.1.1 物理位置选择 本项要求包括: a) 机房场地应选择在具有防震.防风和防雨等能力的建筑内: b) 机房场地应避免设在建 ...
- ICMP重定向 Redirect netwox libpcap netwag
搭建环境 两台虚拟机. 攻击者:192.168.1.8 被攻击者:192.168.1.9 网络配置 主机均采用DHCP 如果没有路由器,可以使用NAT模式来做 攻击者配置 打开转发数据包功能 # su ...
- swift之NSDate
在通常项目中一般用的最多的情况就是获取日期并格式化. 1.只需要小时.分钟.秒数时个人觉得使用以下代码 let dateFormater = NSDateFormatter() dateFormate ...
- SRDC - ORA-1628: Checklist of Evidence to Supply (Doc ID 1682729.1)
SRDC - ORA-1628: Checklist of Evidence to Supply (Doc ID 1682729.1) Action Plan 1. Execute srdc_db_u ...
- [PHP] vscode配置SFTP扩展同步文件
在我们的项目开发过程中,经常有一种模式,有一台linux的开发机作为我们的测试机器,上面安装了ftp服务.我们在windows系统的本地机器使用IDE编写代码,自动或者保存时同步上传到测试机下,这样就 ...
- Webshell篇
常用方法简介: 一.0day拿webshell 参考工具:织梦漏洞利用小工具 二.通过注入漏洞拿Webshell 前提条件:具有足够权限,对写入木马的文件夹要有写入权限,知道网站绝对路径. 对于mss ...
- I2C硬件与模拟的区别
硬件I2C对应芯片上的I2C外设,有相应I2C驱动电路,其所使用的I2C管脚也是专用的,因而效率要远高于软件模拟的I2C:一般也较为稳定,但是程序较为繁琐. 硬件(固件)I2C是直接调用内部寄存器进行 ...
- luoguP4404缓存交换
https://www.luogu.org/problem/P4404 题意 你有一个大小为n的缓存区,有个长度为m的查询序列. 每次查询的时候需要把查询值放入缓存,若缓存已满,则先删除任一位置再将其 ...
- redis数据存入乱码问题解决方法
第一步:配置RedisTemplate @Configuration public class RedisConfigurtion { @Autowired private RedisTemplate ...