发现漏洞却不会用怎么办？三个步骤轻松解决！-变化吧

幸运草

1055
文章

3
评论

2020年5月25日22:31:00安全防范评论阅读模式

自主渗透测试工作已经开展到第二期，相信大家已经在实践中学到了许多关于漏洞挖掘的技术。本文演示了对一台靶机从挖掘漏洞到获取权限的全过程。着眼于挖到漏洞之后，如何进一步获取Shell甚至最高权限的思路，希望可以帮到大家。

FIRST

Vulnhub简介

Vulnhub是一个收集渗透测试靶机的网站。作为一个开放的安全靶场，该网站包含了从入门到困难等三个难度的靶机。安全学习者可以搜索并下载存在漏洞的网站或者主机的虚拟机镜像，通过VMware Workstation或者Oracle VirtualBox等软件自行搭建环境，内容以CTF夺旗和Boot to root两种为主。长期练习并积累其中的渗透测试知识可以让个人有很大的提升，很多OSCP和OSCE的备考者也通过该网站练习渗透技术。

图1 vulnhub网站界面

本文围绕Raven2靶机展开渗透测试，介绍了从信息收集到漏洞挖掘再到最后提权的全过程，成功的标志是找到靶机中的隐藏的四个flag。

SECOND

一起来找旗

首先需要配置网络。通过VMware的NAT机制，可以将Kali和Raven2靶机放入同一个C段网络地址，方便开展接下来的攻击。

01 信息收集

靶机渗透中有两个常用命令：

(1) netdiscover命令

netdiscover命令常用来在网络上扫描IP地址，进行主机发现，是一个主动/被动的ARP侦查工具。该命令在不使用DHCP的无线网络上非常有用。

例如：netdiscover –r 192.168.48.0/24

该命令可以通过ARP请求检索并罗列在192.168.48.0这个C段上存活的主机。

图2.1 使用netdiscover扫描存活主机 & 图2.2 扫描结果

(2) nmap命令

nmap命令常用来进行端口探测和漏洞扫描。

例如：nmap –sV 10.10.10.2

该命令可以对目标靶机进行服务发现和服务版本探测。

例如：nmap –Pn 10.10.10.2

该命令可以在不进行ping访问的前提下，直接进行扫描。因为nmap在对目标进行扫描时，会默认先对该主机进行一次ping访问，如果有回应才会执行下一步。然而部分主机或者防火墙会屏蔽ping请求，导致nmap无法正常完成扫描，该命令可以绕过这个机制。

经过nmap扫描，我们发现某存活主机存在如下图所示的开放端口和服务。

图3 nmap扫描结果

02 GetShell

WebShell是以asp、php、jsp或cgi等网页形式存在的一种命令执行环境，也可称为一种网页后门。攻击者利用WebShell的最终目的就是控制网站服务器。

Web枚举是渗透测试中最常用的技术之一。通过爆破Web目录，可以发现网站管理员未能隐藏的敏感信息，例如管理后台、数据库文件等。常用工具包括御剑、dirb、dirsearch等。此处选用dirb工具。

图4 目录爆破结果

进入/vendor/目录，可以发现多个文件。打开Path文件，发现第一个flag！

图5.1暴露出来的目录结构 & 图5.2 第一个flag

紧接着，观察其目录结构可以发现，其中包含了一个PHPMAilerAutoload.php文件。在扫描结果中也不难发现，这个网站使用的CMS是WordPress，判断出该网站使用了PHPmailer组件。访问VERSION文件可以发现该版本是一个存在RCE漏洞的版本，因此想到去exploitdb上下载相应payload [1]。注意需要针对环境修改payload的格式。