VulnHub——Raven
阿新 • • 發佈:2020-08-17
測試環境
Raven:192.168.65.156
kali:192.168.65.128
資訊收集
主機發現
埠掃描
指紋掃描
GetShell
網站目錄掃描
發現/wordpress路徑,是wordpress搭站,可以使用wpscan進行掃描一波
wpscan列舉使用者名稱
瀏覽web頁面
在網站逛一逛,並沒有可利用的資訊
暴力破解ssh
切換使用者
提權(方式一)
查詢配置資訊
查詢wordpress配置檔案wp-config.php
找到資料庫配置資訊
在資料庫中找到使用者密碼
解密
切換使用者
利用Python提權
sudo -l 發現可以使用root身份執行python命令
建立shell.py檔案,寫入
import os os.system("/bin/bash")
執行shell.py,成功提權
提權(方式二)
檢視當前埠開放情況,發現mysql服務正執行檢視mysql程序,發現是root身份執行
嘗試mysql的udf提權
找到udf提權exp(1518.c)gcc編譯exp,得到1518.so檔案Kali開啟apache2服務下載exp到目標機連線mysql資料庫,進行udf提權
建立檔案,find命令執行檔案,獲得root許可權
總結
UDF(user defined function)使用者自定義函式,是mysql的一個拓展介面。使用者可以通過自定義函式實現在mysql中無法方便實現的功能,其新增的新函式都可以在sql語句中呼叫,就像呼叫本機函式一樣。
使用udf分三步:
1.把含義自定義函式(如執行系統命令函式“sys_eval”)的dll檔案放入特定資料夾下。
2.宣告引入這個dll檔案中的自定義函式。
3.使用自定義的函式。
SQLmap可以實現匯出dll檔案,目錄在sqlmap/udf/mysql/windows(這裡的32位/64位,指的是mysql的位數),如果位數錯誤則會報錯。
SQLmap裡的duf.dll是經過編碼的使用sqlmap/extra/cloak目錄下的cloak.py進行解碼。