OSCP - symfonos2 writeup

主机来源：www.vulnhub.com

下载地址：https://download.vulnhub.com/symfonos/symfonos2.7z

用到的知识点：

SMB服务匿名访问

ProFTPD 1.3.5文件拷贝漏洞

john解密

ssh端口转发

librenms RCE

mysql提权

发现IP

安装成功后，查找此虚拟机的IP，我使用的是netdiscover

nmap

SMB

尝试使用SMB服务，使用anonymous用户登录，

有一个log.txt的文件，下载下来

读文件，发现shadow写进了backups中

利用ProFTPD 1.3.5的文件拷贝漏洞

 

 

 将shadow文件和passwd文件都拷贝下来，利用unshadow整合一下这两个文件

然后解密

利用此账号登录ssh

发现用不了很多命令，最后nmap发现了本来没发现的端口

端口转发

我们将8080端口转发出来

ssh -N -f -L 8080:127.0.0.1:8080 [email protected]

然后访问本地的8080端口

libernms

发现是librenms

搜索下有无此漏洞

有，我们用第三个（因为要准备OSCP，所以这里尽量不用msf）

将py文件拷贝到根目录（可以不拷）

查看用法

需要cookies，我们登录下后台然后获取这个cookes，使用aeolus/sergioteamo登录

先nc -lvp 5555

然后执行命令

执行成功

提权

sudo mysql -e '\! /bin/sh'

成功

这个靶机还蛮难的，我看了好几次wp