VulnHub-Raven
信息收集
使用nmap --min-rate 10000 -A 192.168.58.135 --script=vuln扫描目标主机,如图:
部分关键信息如下:
Nmap scan report for 192.168.58.135
Host is up (0.00054s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
| vulners:
| cpe:/a:openbsd:openssh:6.7p1:
| CVE-2015-5600 8.5 https://vulners.com/cve/CVE-2015-5600
| EDB-ID:40888 7.8 https://vulners.com/exploitdb/EDB-ID:40888
80/tcp open http Apache httpd 2.4.10 ((Debian))
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
| http-csrf:
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.58.135
| Found the following possible CSRF vulnerabilities:
|
| Path: http://192.168.58.135:80/
| Form id:
| Form action: https://spondonit.us12.list-manage.com/subscribe/post?u=1462626880ade1ac87bd9c93a&id=92a4423d01
|
| Path: http://192.168.58.135:80/index.html
| Form id:
| Form action: https://spondonit.us12.list-manage.com/subscribe/post?u=1462626880ade1ac87bd9c93a&id=92a4423d01
|
| Path: http://192.168.58.135:80/team.html
| Form id:
| Form action: https://spondonit.us12.list-manage.com/subscribe/post?u=1462626880ade1ac87bd9c93a&id=92a4423d01
|
| Path: http://192.168.58.135:80/contact.php
| Form id: myform
| Form action:
|
| Path: http://192.168.58.135:80/contact.php
| Form id:
| Form action: https://spondonit.us12.list-manage.com/subscribe/post?u=1462626880ade1ac87bd9c93a&id=92a4423d01
|
| Path: http://192.168.58.135:80/service.html
| Form id:
|_ Form action: https://spondonit.us12.list-manage.com/subscribe/post?u=1462626880ade1ac87bd9c93a&id=92a4423d01
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-enum:
| /wordpress/: Blog
| /wordpress/wp-login.php: Wordpress login page.
| /css/: Potentially interesting directory w/ listing on 'apache/2.4.10 (debian)'
| /img/: Potentially interesting directory w/ listing on 'apache/2.4.10 (debian)'
| /js/: Potentially interesting directory w/ listing on 'apache/2.4.10 (debian)'
| /manual/: Potentially interesting folder
|_ /vendor/: Potentially interesting directory w/ listing on 'apache/2.4.10 (debian)'
|_http-server-header: Apache/2.4.10 (Debian)
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
111/tcp open rpcbind 2-4 (RPC #100000)
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
| 100000 3,4 111/udp6 rpcbind
| 100024 1 36643/udp status
| 100024 1 43393/tcp status
| 100024 1 45218/udp6 status
|_ 100024 1 51880/tcp6 status
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
目标主机开启22,80,111端口,访问80端口,如图:
扫描目录发现.DS_Store文件和wordpress目录,如图:
利用ds_store_exp获取到的文件均为静态文件,然后扫描备份文件时发现contact.zip文件,如图:
查看文件后发现php代码,但是此代码没有直接发现漏洞,如图:
挨个点击页面、查看源码时发现flag,如图:
但我们的目标是getshell,点击BLOG后跳转到wordpress,如图:
但页面显示并不好看,随便点击按钮发现跳转到raven.local域名,然后将该域名添加到hosts再次访问该页面,在底部发现Login,如图:
点击之后跳转到登录页,尝试弱口令登录后发现用户名不正确,根据此提示可枚举用户名,如图:
漏洞发现
使用wpscan --url http://raven.local/wordpress/扫描目标发现xmlrpc.php,如图:
插件twentyseventeen版本为1.3,如图:
使用dnsrecon -d raven.local -t brt枚举子域名无果,根据WordPress xmlrpc.php 漏洞利用,提取网站单词爆破无果,使用burp默认username字典爆破,如图:
枚举发现michael和steven用户,如图:
然后开始暴破wordpress密码,泡茶,打游戏,然而未发现wordpress的密码。然后爆破ssh密码,几把游戏之后发现michael用户密码,如图:
漏洞利用
使用账号密码登录ssh之后,如图:
在/var/www下发现flag2.txt,在/var/www/html/wordpress下发现数据库root用户密码:R@v3nSecurity,如图:
权限提升
使用sudo命令时发现该用户不在sudoers中。
UDF提权
上传冰蝎做端口转发,如图:
使用MDUT连接数据库进行UDF提权,成功获得root用户权限,如图:
在/root下查看flag4.txt,如图:
SUDO提权
查看数据库时在wordpress的数据库中发现Hash,如图:
使用cmd5解密发现付费,然后使用John进行破解,如图:
使用该密码可登录steven,如图:
也可以使用ssh登录,如图:
执行sudo发现可以使用/usr/bin/python,然后直接提权,如图:
其它路径
在获取root权限之后一直在想泄露的php代码应该怎么利用,通过Google搜索后发现:
https://medium.com/@foximusmaximus/pentest-writeup-raven-1-part-1-fd31157cf6af
VulnHub-Raven相关推荐
- Vulnhub靶机渗透之 RAVEN: 1
目录 Description 网卡信息 信息收集 主机发现 主机存活扫描 端口扫描 网站信息 网站首页 nikto 报告 service 页面 wordpress 渗透过程 SSH 爆破 Hydr 命 ...
- Vulnhub系列:Raven 1
该篇为Vulnhub系列靶机渗透,本次靶机存在4个flag.下面开始我们今天的渗透之旅.Raven靶机有很多种思路,我将对其进行一一整理. 首先进行信息收集,利用arp-scan和nmap,进行靶机的 ...
- 靶场练习第二十五天~vulnhub靶场之Raven-2
一.准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:Raven: 2 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机 ...
- kali渗透综合靶机(十)--Raven靶机
一.靶机下载 下载链接:https://download.vulnhub.com/raven/Raven.ova 二.Raven靶机搭建 将下载好的靶机环境,用VMware导入即可使用,文件-> ...
- Raven 2 靶机渗透
0X00 前言 Raven 2中一共有四个flag,Raven 2是一个中级boot2root VM.有四个标志要捕获.在多次破坏之后,Raven Security采取了额外措施来强化他们的网络服务器 ...
- OSCP - Raven writeup
主机来源:www.vulnhub.com 下载地址:https://download.vulnhub.com/raven/Raven.ova 用到的知识点: wpscan漏扫 hydra暴破 john ...
- 渗透测试靶机搭建_对vulnhub中Android4靶机渗透测试全过程!
Android4靶机简介 名称:Android4 操作系统:Android v4.4 标志:/data/root/(在此目录中) 等级:初学者. 下载链接:Android4:https://downl ...
- [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...
- 【Vulnhub靶机系列】DC2
基本信息 Kali:192.168.61.145 DC2:192.168.61.162 实验过程 在Kali中先进行内网探活 sudo arp-scan --interface eth0 192.16 ...
- 【Vulnhub靶机系列】DC1
基本信息 Kali: 192.168.56.116 DC1: 192.168.56.115 实验过程 先在Kali中使用arp-scan进行主机探活 sudo arp-scan --interface ...
最新文章
- 数据增强_imgaug图像数据增强必备工具
- linux怎么查看数据库性能,正确评估SQL数据库性能,你必须知道的原理和方法!...
- SQL获取上个月的第一天最后一天datetime
- java 新手入门电子书_Java基础入门电子书.pdf
- java2实用教程 第5版 课本案例
- 斐讯k2php环境,斐讯K2 刷华硕固件 实现 单线复用(网络、IPTV走一根网线)
- 易班php,易班PHP-SDK开发
- 微观交通仿真软件分析比较
- Android文件MD5/SHA1/SHA256校验
- 《经济学通识》十一、企业该不该有钱、慈善
- workbench设置单元坐标系_ansys workbench中新建坐标系的问题,求高人指点。
- ASEMI代理MC34PF3001A7EP原装现货NXP车规级MC34PF3001A7EP
- Linux常用命令总结(一)
- 谷粒商城三阶段课件_谷粒商城分布式基础篇一
- 记一次python,QQ机器人开发(入门)
- C语言设计模式-单例模式
- 打卡哈利·波特吃饭的餐厅
- 继续,黑苹果安装,HP 2560p, HP 8470p,微星 B85I
- 那个16岁盗走马化腾QQ 震惊央视的农村男孩去哪了
- Fedora之dnf包管理器