測試環境

Raven：192.168.65.156

kali：192.168.65.128

資訊收集

主機發現

埠掃描

指紋掃描

GetShell

網站目錄掃描

發現/wordpress路徑，是wordpress搭站，可以使用wpscan進行掃描一波

wpscan列舉使用者名稱

瀏覽web頁面

在網站逛一逛，並沒有可利用的資訊

暴力破解ssh

切換使用者

提權（方式一）

查詢配置資訊

查詢wordpress配置檔案wp-config.php

找到資料庫配置資訊

在資料庫中找到使用者密碼

解密

切換使用者

利用Python提權

sudo -l 發現可以使用root身份執行python命令

建立shell.py檔案，寫入

import os
os.system("/bin/bash")

執行shell.py，成功提權

提權（方式二）

檢視當前埠開放情況，發現mysql服務正執行檢視mysql程序，發現是root身份執行

嘗試mysql的udf提權

找到udf提權exp（1518.c）gcc編譯exp，得到1518.so檔案Kali開啟apache2服務下載exp到目標機連線mysql資料庫，進行udf提權

建立檔案，find命令執行檔案，獲得root許可權

總結

UDF（user defined function）使用者自定義函式，是mysql的一個拓展介面。使用者可以通過自定義函式實現在mysql中無法方便實現的功能，其新增的新函式都可以在sql語句中呼叫，就像呼叫本機函式一樣。

使用udf分三步：

1.把含義自定義函式（如執行系統命令函式“sys_eval”）的dll檔案放入特定資料夾下。

2.宣告引入這個dll檔案中的自定義函式。

3.使用自定義的函式。

SQLmap可以實現匯出dll檔案，目錄在sqlmap/udf/mysql/windows（這裡的32位/64位，指的是mysql的位數），如果位數錯誤則會報錯。
SQLmap裡的duf.dll是經過編碼的使用sqlmap/extra/cloak目錄下的cloak.py進行解碼。