标签:SMB共享、hydra爆破、端口转发、命令注入、mysql提权
0x00 环境准备
下载地址:https://www.vulnhub.com/entry/symfonos-2,331/
flag数量:1
攻击机:kali
攻击机地址:192.168.1.31
靶机描述:
OSCP-like Intermediate real life based machine designed to teach the importance of understanding a vulnerability. SHOULD work for both VMware and Virtualbox.
0x01 信息搜集
1.探测靶机地址
命令:arp-scan -l
靶机地址是192.168.1.42
2.探测靶机开放端口
命令:nmap -sV -p- 192.168.1.42
开放了5个端口,老规矩看一下80端口,还是一张图片,扫描目录也没扫出来啥。应该和symfonos1一样,还是先使用smb共享服务找到信息。
0x02 SMB
使用smbclient工具枚举共享文件,命令:smbclient -L 192.168.1.42
发现一个目录,尝试进入目录,命令:smbclient //192.168.1.42/anonymous
不需要密码就可以进入,进入后发现里面还有一个backups目录,再进去看一下
进去后,里面有个log.txt文件,下载下来看一下。
在ProFTPD的配置文件下发现了aeolus用户,尝试使用九头蛇爆破一下。
0x03 hydra爆破ftp
命令:hydra -l aeolus -P /usr/share/wordlists/rockyou.txt ftp://192.168.1.42
字典使用rockyou.txt,线程默认线程就可以了,不然太大的话会导致拒绝服务。
爆破出来了,密码:aeolus \ sergioteamo
刚才在扫描端口的时候发现22端口也开放了,尝试使用ftp的账号密码登录ssh的账号密码,命令:ssh [email protected]
登录成功
0x04 端口转发
做到这里,已经连接上SSH了,我以为就要提权了,然后看了一下表哥的文章,发现还没有到提权的地步。以下内容参考表哥的文章,文章链接我会在最后放出来。
由于使用SSH登录的情况下会对很多命令有限制
既然知道了账号密码,那就使用metasploit工具进行SSH登录
①启动metasploit,命令:msfconsole
②查找ssh登录模块,命令:search ssh_login
使用第一个
③看一下需要设置哪些选项,命令:show options
设置目标地址,账号和密码,然后运行
连接成功
④将sessions升级为一个meterpreter会话
查看sessions
将sessions升级为一个meterpreter会话,命令:sessions -u 1
使用sessions 2
⑤检查网络相关信息,命令:netstat
发现它监听了本地的8080端口,且只允许来自靶机自身的连接
⑥端口转发
使用portfwd工具,portfwd工具在metasploit中就可以使用。
由于我第一次使用,先看一下帮助文档
那就将本地的9001端口映射到靶机的8080端口,命令:portfwd add -l 9001 -r 127.0.0.1 -p 8080
端口转发成功
0x05 命令注入getshell
访问本地的9001端口
是一个登录界面,使用刚才爆破出的ftp账号尝试登录,aeolus \ sergioteamo
登录成功
使用metasploit查找librenms是否存在漏洞
发现了两个命令注入的漏洞,使用第一个试一下
查看选项
设置参数
利用成功,切换到shell模式
0x06 提权
查看当前用户的命令和权限相关信息,命令:sudo -l
发现mysql在不使用密码的情况下可以以root的身份运行
提权,命令:sudo mysql -e "\! /bin/bash"
-e参数作用是执行语句并退出
提权成功
flag在/root下
0x07 小结
靶机从SMB共享服务中枚举出共享文件,在文件中发现了ftp服务的用户名,并且使用hydra爆破出了用户密码。巧合的是SSH服务和FTP服务使用的是相同的账号密码,这样就登录了SSH服务,通过使用msf的meterpreter工具,发现在靶机内网中还有一个网站,使用端口转发工具访问到网站后,利用已有漏洞getshell。使用新的shell身份发现mysql具有root权限并且可以运行mysql,最后使用mysql进行提权,拿到flag。
由于我不会每天都登录,所以有什么私信或者评论我都不能及时回复,如果想要联系我最好给我发邮件,邮箱:Z2djMjUxMTBAMTYzLmNvbQ==,如果发邮件请备注“”
参考链接:
1.https://exzandar.home.blog/2020/02/15/the-walk-through-of-symfonos-2-machine-from-vulnhub/
2.玩转靶机:symfonos1 + symfonos2 + matrix_v3
3.[shell]Linux脚本开头#!/bin/bash和#!/bin/sh是什么意思以及区别