https://www.vulnhub.com/entry/symfonos-2,331/
目标
-得到root
*如果要下载来玩建议不要看, 因为剧透了
1. 打开你的Kali和靶机(symfonos2)
2. 虽然有IP显示但还是要照SOP跑一下netdiscover.
3.得到IP过后, 使用nmap还是zenmap扫描, 我就使用zenmap.
如果是zenmap选择Internet scan, all TCP ports (通常靶机注重TCP使用扫仔细一点)
那么因为有运行端口80 http所以打开浏览器看看
4. 就一张图, 看了Page Source和一些测试没有发现东西.
5. 因为是linux系统所以运行Enu4linux扫描看看,
6. 那么Enu4linux扫描我看到有一个anonymous share folder.
7. 连上anonymous共享文件夹, Password Enter就可以了没有设定密码.
然后里面只有backups文件夹
8.进入backup文件夹可以看见有一个log.txt,我把它复制到/root/home
9. 退出, 然后打开log.txt
10. 发现有一个用户名叫aeolus
11. 进过盘查没发现什么进展, 因为我们有了用户名所以决定使用hydra来试一试Brute-force attack 因为它有开发端口21 FTP服务,字典我使用的是rockyou.txt基本的CTF密码都有收录在里面.
等了挺久(因为我的电脑不是很好)以为会失败, 但过了不久突然弹了一个密码出来让这次爆破成功.
12.尝试SSH 登入aeolus账号看看, 成功.
13. 这里我使用 LinEnum.sh扫描一下看有没有一些信息能使用.
(LinEnum.sh 可以去github找有很多)
14. 运行LinEnum.sh 需要sudo权限运行, 但可以修改文件权限来绕过用户权限认证(这很重要).
最后我没发现我能用的东西.
15. 因为它有使用网页, 看看它的apache service或www/html/下能不能发现一些东西.
果然在apache2文件夹下有一个librenms.conf显示它还有一个网页在127.0.0.1:8080那这个我们扫描没有看到.
16. 在浏览器填入127.0.0.1:8080会带到来这个登入界面.
18.那么就调用看看需要什么条件, 发现需要 librenms IP地址, librenms运行端口, 用户Username和用户Password. 那么全部填上就可以了
19. exploit Payload成功连接. 使用命令
python -c 'import pty;pty.spawn("/bin/bash")' 交换Shell
20. 那么先来查看自己是什么用户#whoami
查看有没有sudo权限#sudo -l
发现它居然说可以使用/usr/bin/mysql下运行命令来获取root权限并不需要密码. 那么上网查看一下发现确实有
那么就调用$sudo /usr/bin/mysql -e '\! /bin/sh'
21. 直接有root权限.
22. 使用到root文件夹, 打开proof.txt完美.
感谢阅读
No comments:
Post a Comment