歡迎光臨
我們一直在努力

Vulnhub x Raven: 2

VulnHub是一個面向所有人開放的安全靶場,裡面有很多安全環境,只要下載相關映像檔,在相關虛擬機器上面執行就可以練習相關靶場了。裡面設計了好多關,如果有耐心一定可以到達峰頂。許多考OSCP人員,也會利用Vulnhub靶場進行刷題。我們下載了一個經典漏洞靶場,給大家進行演示,希望讓初學者知道滲透測試的套路,可以更快的成長。

靶機:Raven: 2

首先,先查詢自己本地的IP,可以透過 ifconfig查詢。

eth0 192.168.44.136 這是本地IP ,同時也是攻擊者端

透過nmap工具,使用-sP,Ping方式來快速掃描該網段上的其他主機。

結果可發現 該標的物為 192.168.44.142

找到標的端後,繼續使用nmap -A,完整掃描該主機服務。

結果顯示開啟 22 port 、80 port 、111 port 、57923 port

因為有 80 port,於是我們使用Dirb工具掃描網站目錄

發現有wordpress、vendor 幾個目錄。

查看vendor,有幾個檔案引起了我的興趣,PATH、PHPMailerAugoload.php、Version

於是我們查看PATH,發現得到了第一個Flag。

PHPMailerAugoload.php 讓我想到了CVE 2016-10033,而查看Version後,發現版本是 5.216。

PHPMailer < 5.2.18 - Remote Code Execution  我們可以利用此Exploit來進行RCE

透過 nc 監聽 4444 port後,我們執行Exploit,然後訪問shell,即可成功反連回來。

查看id 用戶 是 www-data,而在/var/www目錄下找到第二把Flag。

記得,我們前面透過Dirb掃描時,有找到Wordpress,而Wordpress底下有個wp-config.php設定檔,可以查看此設定檔找到資料庫的帳號密碼。

然後透過MySQL UDF提權 ,UDF提權老方法,這邊就不多贅述了。

這邊使用do_system,之後可以用find來執行命令

create table test1(line blob);
insert into test1 values(load_file('/tmp/1518.so'));
select * from test1 into dumpfile '/usr/lib/mysql/plugin/1518.so';
create function do_system returns integer soname '1518.so';
select do_system('chmod u+s /usr/bin/find');

建立個目錄raj,然後透過 find 來執行命令,即可成功提權。

touch raj
find raj –exec "whoami" ;
find raj –exec "/bin/sh" ;

直接訪問 /root目錄後,成功找到第四把flag。

目前已找到 flag1 flag2 flag4 ,還缺 flag3。

於是我們直接透過 find 搜尋關於flag的資訊。

可以看到 flag3 藏在 wordpress底下的目錄

訪問該目錄png後,成功取得flag3。

結束。

贊(1) 打賞
轉載請附上作者連結:波波的寂寞世界 » Vulnhub x Raven: 2

波波的寂寞世界

Facebook聯繫我們

覺得文章有用,請作者喝杯咖啡

掃一掃打賞作者狗糧