本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/symfonos-2,331/
得知开放了445端口,继续看看有什么可利用的文件信息,探测目标靶机开放的匿名目录
直接匿名登录anonymous
查看log.txt文件
从上述log.txt文件中得到两个信息,一个是有shadow.txt文件备份在了共享文件夹,然后目标靶机的共享文件夹的绝对路径是/home/aeolus/share/ 那么根据这两个现象一个思路就是再拷贝/etc/passwd文件到共享文件夹中然后将其下来下来使用unshadow处理一下通过john进行破解目标靶机的ssh密码, 这里拷贝的方式是根据上面nmap扫描出来的ftp服务漏洞进行利用操作,具体如下:
通过下面操作获得目标靶机ftp服务的文件复制漏洞
根据上面提示就有如下的复制文件操作,登录ftp账号密码随便输入就可以
使用unshadow处理一下
使用john进行密码破解 john --wordlist=/usr/share/wordlists/rockyou.txt bmfxhash.txt
最终得出用户名和密码为 aeolus/sergioteamo 直接使用ssh进行连接,连接上去之后使用提权脚本发现存在nmap命令,使用nmap扫描下本地看看开放了哪些端口,本想使用netstat,发现没有此命令
使用kali访问了下发现访问不了,只好使用ssh进行本地端口转发 ,本地端口转发是在本地kali下操作 ssh -Nf -L 9933:127.0.0.1:8080 aeolus@192.168.56.107
使用kali的本地浏览器直接访问回环口的9933端口,得到如下信息:
确认是librenms 直接使用metasploit进行搜索是否存在漏洞
确认有可直接利用的漏洞,一把嗦
直接sudo发现mysql可以提权
提权参考:https://gtfobins.github.io/gtfobins/mysql/
根据上述提权信息,可以直接进行提权,具体看如下操作:sudo -u root mysql -e '! /bin/bash'
参考提权脚本:https://github.com/sleventyeleven/linuxprivchecker
