码迷,mamicode.com
首页 > 系统相关 > 详细

raven靶机实战(linux-udf提权)-vuluhub系列(四)

时间:2020-06-24 20:02:29      阅读:91      评论:0      收藏:0      [点我收藏+]

标签:80端口   href   file   eth   版本   image   value   tor   discover   

这是vulnhub靶机系列文章的第四篇,本次的靶机感觉还是挺有趣的,学到的重要知识点为linux下-mysql的udf提权以及某cms的漏洞getshell,开始吧...
靶机下载链接:https://download.vulnhub.com/raven/Raven2.ova

 

#001 环境搭建(nat)

攻击机kali:192.168.136.129

靶机Raven2:192.168.136.140

 

#002 实战writeup

寻找靶机ip,netdiscover -i eth0,找到靶机ip为192.168.136.140
技术图片

 

 Nmap扫描靶机端口情况,看到开放了22,80,111端口

技术图片

 

 从web端下手,访问80端口,发现是wordpress搭建的博客页面,先不急用wpscan扫,跑一下目录,看下有没有其他发现,发现了img和vendor目录,img目录存放的博客的图片,感觉没啥用..

技术图片

 

 访问http://192.168.136.140/vendor/目录发现了phpmailer,由于没见过这玩意就百度了一波

 技术图片

 

查看到版本为5.2.16,查找一下有没有历史漏洞,找到了远程代码执行漏洞,并且可以getshell,漏洞编号为CVE-2016-10033

技术图片

漏洞影响范围WordPress、Drupal、1CRM、Joomla!等使用了PHPMailer的开源CMS
PHPMailer < 5.2.18

用kali的searchsploit phpmailer,不得不说真的方便,找到几个可以的利用exp,

这里使用py的exp脚本
技术图片

 

 Locate一下exp的位置,然后复制到当前目录

技术图片

 

 

#003 利用脚本getshell

https://www.exploit-db.com/exploits/40974查看了脚本使用方法,发现需要修改脚本的几个参数

技术图片

 

修改脚本,执行攻击,首先找到网站发邮件的地方

技术图片

 

修改以下的地方,然后python执行脚本,如果报错,加上utf8的编码头部

技术图片

 

然后执行脚本,出现以下页面代表执行成功

技术图片

 

Kali开启监听6666端口,浏览器访问a.php文件,成功getshell,python一句话转为标准终端,查看权限为网站用户权限,需要提权

技术图片

 

 #004 提权操作

查看目录下有wordpress文件,因为wordpress搭建网站肯定有数据库配置文件的,通过它寻找数据库账号密码

技术图片

 

Cat 查看配置文件信息,发现了数据库的账号密码,并且为root,可以尝试利用udf提权

技术图片

 

首先kali编译好.so文件,把udf文件放到kali网站根目录下,然后靶机利用wget下载

 技术图片

 

登陆到mysql命令行,mysql -u root -p,然后输入密码登陆进mysql命令行

技术图片

 

udf提权步骤,首先查看有哪些数据库,并把.so文件导入到mysql的plugin目录下,和windows下类似

技术图片

use mysql

create table foo(line blob);

insert into foo values(load_file(‘
/var/www/html/raptor_udf2.so’)); select * from foo into dumpfile ‘/usr/lib/mysql/plugin/udf.so’; create function do_system returns integer soname ‘udf.so’;

技术图片

 

利用创建出来的函数执行命令,给find加上s权限,目的是想利用find的suid提权,方便

select do_system(chmod u+s /usr/bin/find);

 技术图片

 

然后利用find / -exec "/bin/sh" \;提权,whoami查看成功提权到root

 技术图片

 

#006 总结归纳

phpmailer远程代码执行漏洞利用py脚本getshell

wordpress数据库配置文件查找账号密码

mysql udf提权(linux)的利用

raven靶机实战(linux-udf提权)-vuluhub系列(四)

标签:80端口   href   file   eth   版本   image   value   tor   discover   

原文地址:https://www.cnblogs.com/PANDA-Mosen/p/13189038.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!