大家好！愛寫靶機滲透文章的我又來了，該靶機被設計者定義為初級-中級，最后小弟完成整個滲透的時候也的確是比較簡單的；但是中間設計者設計了一個坑，小弟在那里被困了好幾天，都塌喵的開始懷疑人生了。下面會介紹，本靶機設計者一共設置了4個flag，本次入侵也已拿到4個flag和root權限為止。
 
靶機安裝/下載
Raven：1靶機下載：https://pan.baidu.com/s/18p0Jir7eH0BL1Na_6ybRtg靶機IP: 172.16.24.37

 
實戰
第一步老規矩探測ip：

已經知道了ip，下一步就是使用nmap探測靶機開放的端口了，如圖：

通過上面的端口探測可以看到，該靶機開放了多個端口，我們還是老規矩以80端口作為突破口

下一步進行目錄猜解，本次使用gobuster 工具完成

我們在 http://172.16.24.37/service.html 拿到了第一個flag，在源代碼262行處，如圖：

flag1{b9bbcb33e11b80be759c4e844862482d}
通過剛剛的目錄猜解，我在/vendor目錄下發現了 PHPMailerAutoload.php，通過搜索發現存在一個PHPmailer的任意命令執行漏洞，然后小弟就一頓操作一頓修改exp，

（注：這里的絕對路徑在http://172.16.24.37/vendor/PATH ）

小弟還不死心，直接手動測試，如圖：

依然出錯，在這里小弟被卡了好幾天，一度懷疑是不是靶機設計者設計錯了，最后忘記是用哪款掃描器，掃描到了zip文件，地址：http://172.16.24.37/contact.zip ，下載來后通過查看源代碼發現，該源碼里寫入的地址是錯的，這也就說我一直沒法利用該漏洞的原因，如圖：

最后小弟把目光放在/wordpress 上，老規矩使用wpsan懟一波，如圖：

未發現可利用漏洞，但是出來2個賬戶“michael”、“steven”
下面我們加載這2個賬戶來破解其ssh密碼，各位也可以使用msf來完成
小弟這里使用hydra：

破解出來密碼：“michael”、“michael”
即能成功登陸ssh，

下一步就是拿flag了，flag2在 /var/www/ 目錄下，如圖：

flag2{fc3fd58dcdad9ab23faca6e9a36e581c}
下面為了演示方便，小弟上了一個php大馬在/wordpress目錄下，

下一步就是提權了，在/wordpress/wp_config.php 里拿到mysql的賬戶密碼，如圖：

mysql賬戶密碼為：“root”、“R@v3nSecurity”
到了這里肯定要小伙伴要問了，前面端口探測不是看到靶機沒開3306端口嗎？其實它只是為了防止外部訪問罷了，我們使用shell查看，即可知道，如圖：
下面肯定是通過mysql提權啊，我們使用php大馬來操作mysql，方便大家閱讀


拿到了flag3{afc01ab56b50591e7dccf93122770cd2}
小弟也在/tmp目錄下，上傳了一個提權輔助腳本，命令：
wget https://www.securitysift.com/download/linuxprivchecker.py

通過提權腳本我們可以看到，我們可以使用mysql來完成提權，該方法的提權具體操作，見代碼注釋處，如圖：

腳本地址：https://www.exploit-db.com/exploits/1518/
小弟這里使用另外一種方法提權，剛剛我們已經得到了另外一個賬戶“steven”的hash值，下一步我們破解這個hash
得到破解密碼：pink84
下面我們切換到steven賬戶

下一步輸入命令：sudo -l

可以看到python，可以直接繞過root，下面只需要輸入命令
sudo python -c ‘import pty;pty.spawn(“/bin/bash”)’

成功拿到flag和root_shell
 
總結
通過這篇文章小伙伴們應該也看到了，該靶機其實挺簡單的，但是小弟在前面被不知是設計者的故意挖坑還是失望留的坑，困了好幾天，一直無法突破。所以說小伙伴們以后在真實環境中如果碰到無法突破的點，可以先試著跳出來看看其他的是否有突破口吶？
最后祝大家生活愉快，感謝觀看！