全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战（二）raven1

靶机实操步骤——vulnhub靶机实战（二）raven1"/>

全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战（二）raven1

靶机地址：.ova
靶机难度：中等
靶机发布日期：2018年5月28日

第一步使用虚拟机打开靶机的镜像，搭建好环境

使用命令arp-scan -l探测到目标靶机的IP地址
扩展：Arp-scan
是一款kali自带的一款轻量ARP扫描工具，该工具会自动解析MAC地址，得到对应硬件厂商。
什么是ARP
地址解析协议（Address Resolution Protocol），根据IP地址获得物理地址MAC的一个TCP/IP协议。
通过ARP，在局域网可以很容易构成一个ARP欺骗，从而得到有用数据信息。

arpscan配合nmap一起效果不错，用nmap扫描目标靶机全部端口，发现开发了22，80，111和331998端口

访问IP，查看robots.txt,robot.txt,404，并没有发现什么有价值的东西

接下来使用kali的dirb爆破目录，发现了wordpress目录，说明网站使用了wordpress建站，所以我们一会可以使用wordpress的克星wpscan来扫描

先访问一下wordpress目录，发现可以登录的地方
*小知识点：wordpress的默认登录界面目录是/wp-login.php

小插曲，看了一眼一开始的源码没想到发现了flag1，应该是作者想培养我们记得查看网络源码的习惯

接下来用wpscan来扫描wordpress目录
命令：wpscan --url http://192.168.1.144/wordpress -e u

扫描到两个用户名，steven和michael，接下来我们使用hydra对michael用户的ssh密码进行爆破，这里我们使用rockyou.txt字典
解压rockyou.txt命令：gzip -d /usr/share/wordlists/rockyou.txt.gz
hydra命令：hydra -l michael -P rockyou.txt 192.168.1.144 ssh

注意要在字典目录下面打开hydra，获得账号密码后登录ssh

尝试了一下sudo提权，发现需要密码，切换目录并查看，命令：cd /var/www/html/wordpress

打开wp-config.php文件发现mysql账号密码，直接mysql -u root -p连上

接下来mysql语法查询数据库，表名，字段名

在wp_users里发现了Steven的hush值，放到MD5解密一下得到密码 MD5免费在线解密破解_MD5在线加密-SOMD5

接下来select一下wp_posts发现flag3和flag4

然后我们切换到steven账号试试能不能提权，先输入quit退出mysql登录，然后命令：su steven切换账号

登录之后直接尝试用python发起一个交换shell，一个非常非常好用的命令
sudo python -c 'import pty;pty.spawn("/bin/bash")'

嘿嘿 提权成功，然后找到flag2.txt，成功拿下这台靶机

若有收获，就点个赞吧