官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
开冲- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
开冲 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言
通过VulnHub-Raven:2靶机渗透学习
攻击机:kali
靶机:Raven
网段:192.168.123.0/24
知识点:
PHPMailer 小于5.2.18 (CVE-2016-10033)
UDF提权
工具:
LinEnum——Linux枚举漏洞工具
dirsearch——目录扫描工具
CVE-2016-10033
原理:PHPMailer mail()函数功能,远程攻击者利用默认开启的PHPMailer可以运行构造的恶意代码,无需登录触发该漏洞,从而导致获取系统权限。
漏洞影响范围:WordPress <4.7.1 PHPMailer <5.2.20
UDF提权
漏洞版本:MYSQL<5.5
步骤
信息收集
首先先知道靶机的IP地址,用nmap获取靶机的IP地址
IP地址为192.168.123.4
也可以用arp-scan工具扫描
扫出IP地址后,继续扫描靶机的开放端口和服务,用nmap获取靶机的端口
目标开放了22、80、111端口
访问该80端口,得到WEB应用
外国网站,不可以注册,提示为目录泄露,随即用dirsearch扫描目录,也可以直接用kali的dirb
找到泄露的目录。进去查看
获得网站绝对路径:/var/www/html/vendor/
在README.md找到phpMailer这个关键
该靶机有phpMailer邮件服务,且该版本为5.2.16
##漏洞利用
查找phpMailer版本小于5.2.16的漏洞(CVE-2016-10033)
利用searchsploit搜索可利用漏洞
存在远程代码执行,去漏洞库将exp复制
exp是在contact.php生成shell.php后门,当访问靶机的contact.php,用kali的4444端口监听,后门上传成功
该py会在对应的漏洞网站生成后门,访问后门文件:
拿到www-data权限,不过权限不够,很多事情做不了,需要提升到root权限
可以通过python获取pty。(交互式webshell)
python -c ‘import pty;pty.spawn("/bin/bash")’
权限提升
查看/var/www/html下的wordpress,查看对应数据库的信息
找到数据库账号密码
这里使用Linux枚举漏洞工具LinEnum,下载地址
其次用靶机获取kali上面的LinEum文件(需要在kali上面打开apache服务,命令为service apache2 start)
上传成功
需要提权才可以执行,提权后./LinEnum.sh执行
可以看到MYSQL以root登录
可以用ps aux |grep root命令
登录MYSQL数据库,查看数据库版本
MYSQL低于5.5的漏洞可以是UDF提权
在kali搜索1518.c的exp
利用提权exp在kali伤编译成so文件
命令 gcc -g -c 1518.c
gcc -g -shared -o dayu.so 1518.o -lc
参数:-g 生成调试信息
-c 编译(二进制)
-shared:创建一个动态链接库,输入文件可以是源文件、汇编文件或者目标文件。
-o:执行命令后的文件名
-lc:-l 库 c库名
并将其复制到/var/www/html里面
靶机切换到/tmp下,获取kali的shell.so
接着进行MYSQL的UDF提权
进行数据库创建数据表foo
create table foo(line blob);
调用do_system函数给find命令所有者的suid权限,使其执行root
命令:select * from mysql.func;
命令:select do_system(‘chmod u+s /usr/bin/find’);
执行find命令,执行shell
命令:find / -exec 'bin/sh' ;
参考资料
总结
至此,也算是是系统提权成功,还需要后面学习相关的漏洞EXP。
已在FreeBuf发表 18 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
靶场
PenTest学习
- 18 文章数
- 17 关注者