raven2实战

靶机：raven2
下载地址：https://download.vulnhub.com/raven/Raven2.ova
描述：Raven 2 is an intermediate level boot2root VM. There are four flags to capture. After multiple breaches, Raven Security has taken extra steps to harden their web server to prevent hackers from getting in. Can you still breach Raven?

一、信息收集

1、目标发现

netdiscover -i 网卡名 -r 指定范围

通过排除法得知目标ip为10.10.10.138

2、端口扫描

nmap -sV -O 10.10.10.138

得知目标开放了Apache服务

尝试访问

使用dirsearch进行目录爆破

dirsearch -u [url] -w [wordlist]

查看/vendor

翻到一些有用的信息

网站路径

flag1

phpmailer

版本信息

使用searchsploit搜索相关漏洞

发现可利用的漏洞

CVE:2016-10033

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2016-10033

二、漏洞利用

1.get shell

这里使用exploit-db提供的payload：https://www.exploit-db.com/exploits/40974

修改payload

目标url与后门位置

回连IP与端口

网站路径

尝试运行

访问/contact.php，触发后门，生成/shell.php,并使用netcat连接到后门

发现用户不为root，寻找提权方式

2.敏感信息收集

这里笔者上传php后门以便后续操作

payload：<?php eval($_REQUEST[x]) php>

开启服务器

在靶机shell下使用wget命令下载后门

尝试使用蚁剑连接后门，成功

寻找敏感信息，发现wordprss

尝试连接数据库

失败

猜测未允许root外联，于是在靶机shell中连接

在shell中使用 python -c 'import pty;pty.spawn(“/bin/bash”)'创建可交互的虚拟终端

并再次尝试连接

mysql连接成功

3.权限提升

使用LinEnum寻找可利用的漏洞

上传脚本至靶机，并赋予执行权限

chmod +x LinEnum.sh

执行

尝试UDF提权

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

摸了，有空再写下篇