Raven 渗透测试

Raven 渗透测试

0x00实验环境

靶机：raven，IP地址：192.168.8.22

测试机：Kali，IP地址：192.168.8.8；

0x01实验流程

信息收集——主机发现、端口扫描

渗透测试

0x02实验步骤

1. 主机发现

1. 端口及服务扫描

1. 扫描web目录

访问页面

1. Wpscan扫描wordpress

得到用户名steven michael

访问登录界面失败，需要在hosts文件中添加记录

尝试爆破一下用户名密码

wpscan --url http://raven.local/wordpress/  --usernames /root/raven-username.txt --passwords /root/rockyou.txt –t 2

    但是半天没出来，数据太多，换用ssh爆破

    换hydra爆破，哎，出来一个哦

   

Michael :Michael

登录：

1. 查看该账户下文件，及其可使用的root权限命令之类的，未果，查看网站配置文件

得到数据库的登录用户名密码

root ：R@v3nSecurity

连接数据库并查看数据

Mysql –u root –p

破解steven的密码

得到 steven : pink84

切换至steven:

OJBK

1. 查看steven用户的root权限命令

Python

可以考虑用python开启一个反弹shell然后kali监听得到root

或者直接sudo python开启一个新shell

Ok,成功获取root

1. 其实，本靶机还可以使用udf提权

刚开启，我们在/vendor目录下发现有PHPMailerAutoload.php

以及其版本5.2.16

查找phpmailer漏洞

复制并编辑RCE脚本文件

修改数据

然后pip install requests-toolbelt

python3 40974.py

Kali开启监听并访问http://192.168.8.22/back.php

在wp-config.php中找到mysql用户名密码

root: R@v3nSecurity

查看启动的服务发现mysql启动

查看mysql版本5.5.60

    搜索mysql udf提权

 

复制1518.c并编译生成动态链接库文件（DLL）

gcc -g -c 1518.c

gcc -g  -shared -Wl,-soname,1518.so -o 1518.so 1518.o –lc

再把1518.so下载至目标主机

接下里，连接mysql进行UDF提权操作

但是它错误，把文件名改一下试试

但还是报错

检查步骤是对的，可能是靶机bug了

步骤如下

 

1. 清理痕迹，留后门

 

总结：

UDF提权：

    将udf文件放到指定位置（Mysql>5.1放在Mysql根目录的lib\plugin文件夹下）

    从udf文件中引入自定义函数(user defined function)

执行自定义函数

dumpfile通常用于读取二进制文件，不会造成损坏

create function do_system是我们添加的新的函数，用于执行系统命令

chmod u+s 表示给某个程序的所有者以suid权限，可以像root用户一样操作，也就是说给find命令最高权限

find / -exec ‘/bin/sh’ ;最终提权，赋予根目录下最高权限1