本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/symfonos-3,332/
使用gobuster进行目标爆破
访问目录gate
继续爆破目录,不知道啥原因,我这边爆破不出来目录underworld,有这个提示信息还是在刚开始访问目标靶机的web时候提示得到
找到了上面目录,就会爆破出来很多目录,访问了一部分目录发现显示的都是uptime执行的结果,这个还真得有经验就知道存在shellshock漏洞 https://www.freebuf.com/news/48331.html
有两种利用方式,我就使用metasploit直接利用反弹shell,具体如下:
成功拿到反弹shell,然后使用python生成友好的交互式shell,生成之后通过工具(https://github.com/DominicBreuker/pspy)发现有一个正常运行的程序使用root权限周期性计划执行一个ftp登录的python脚本具体如下:
最终得到ftp的用户名和密码为hades:PTpZTfU4vxgzvRBE 直接当作ssh连接,发现成功登录目标靶机
发现执行ftp登录的python脚本ftpclient.py并不具备修改的权限,只能查看,代码内容如下:
确认调用了ftplib库,那么我们通过修改这个库文件的代码来达到提权的操作,具体如下:
然后kali本地监听8833端口,等待ftp登录脚本再次执行时直接提权反弹shell
