靶機下載地址:https://www.vulnhub.com/entry/raven-1,256/
修改hosts檔案
Description
Raven is a Beginner/Intermediate boot2root machine. There are four flags to find and two intended ways of getting root. Built with VMware and tested on Virtual Box. Set up to use NAT networking.
資訊收集
主機發現
nmap -sP 192.168.75.0/24
埠掃描
nmap -A -p- -sC -T4 -sS -P0 192.168.75.162 -oN nmap.A
nmap預設會掃描使用頻率最高的top1000埠,-p-就是掃描1-65535埠,nmap可以做漏洞掃描-sC,設定掃描速度-T4,nmap掃描速度有5檔T1~T5,T1最慢,T4最快,-sS做SYN半連線掃描,nmap對目標進行掃描的時候一共有兩步,第一步是確定主機是否線上,第二步再進行埠掃描,-P0是禁用nmap來判斷主機是否線上,直接進行強掃,直接發包
網站資訊
在service模組原始碼中發現了flag1
網站目錄掃描
dirb http://192.168.75.162
wpscan
wpscan --url http://192.168.75.162/wordpress/ -e vp,u
使用wpscan掃描出來了兩個使用者: steven,michael
滲透測試
SSH爆破
由於知道了兩個使用者名稱嘗試一下利用hydra,成功爆出一個賬號
使用者名稱:michael
密碼:michael
ssh登入成功
在/var/www目錄下找到flag2
資料庫資訊
下面檢視一下靶機開放了哪些埠號
開放了資料庫
WordPress作為一款開源的CMS,配置檔案的路徑是固定的,是wp-config.php
資料庫密碼肯定在網站的配置檔案中
cat /var/www/html/wordpress/wp-config.php
輸入賬號密碼以後成功進入資料庫
查詢使用者
用MD5解密一下得到密碼
steven登入網站後臺
獲取flag3
提權
破出了steven的密碼,嘗試去登入ssh
檢視sudo許可權
sudo -l
steven可以用root身份,不需要提供root密碼的情況下,去執行/usr/bin/python
sudo /usr/bin/python,這條命令敲下去之後,就可以以root身份去執行python命令,在執行期間,具有root使用者許可權
我們知道許可權是具有傳遞性的,如果我們以root身份呼叫python命令,那麼python就可以以root身份去呼叫bash,bash就具備了root許可權
sudo python -c 'import pty;pty.spawn("/bin/bash")'
到此獲取flag4
