本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/symfonos-52,415/
nmap扫描结果
开放了80端口,直接访问看看
访问结果就一图片,没什么价值,直接使用dirb针对php扩展名进行爆破看看
dirb http://192.168.56.110 -X .php
发现使用dirb命令进行目录爆破指定扩展名和不指定扫描 出来的结果还不一样,访问admin.php看看
通过burpsuite抓包发现访问home.php文件显示了如下信息:
通过文件包含直接读取admin文件看看
由于我刚开始导入靶机是使用的virtual box导入的,发现此处怎么利用都不成功,所以换成了VMware Wordstation试试看,发现是可以显示home.php文件的响应信息,但是还是有点问题,如上图的问题,显示要使用http和https,这个我在网上查看过了,发现其他朋友做这个靶机的时候也遇到这个问题,说重新再导入下,就可以了,导到导出麻烦,而且确定问题就是靶机的问题,所以我这里就不演示,上面的IP是重新换了个环境导入的,所以IP地址不一样
上述通过文件包含的形式获取到了文件admin.php的源代码,里面代码显示有ldap的相关信息,尝试直接使用nmap直接扫描ldap的端口389直接获得了一个账户为zeus密码是cetkKf4wCuHC9FET 具体获得的过程如下:
nmap 192.168.56.110 -p 389 --script ldap-search --script-args 'ldap.username="cn=admin,dc=symfonos,dc=local", ldap.password="qMDdyZh3cT6eeAWD"'
使用此账户直接通过ssh登录目标靶机
顺手看看sudo是否可以提权
发现可以同dpkg进行提权,这里提权的大概意思就是自己本地编译打个deb的安装包,在编译的时候指定参数告诉其在安装此包之前执行某些命令进行提权,详情情况:https://gtfobins.github.io/gtfobins/dpkg/
所以知道大概意思了,那么我就直接本地写个shell文件,然后里面写个执行bash的脚本即可提权,具体看如下操作:
vim bmfx.sh fpm -s dir -t deb -n exploit --before-install bmfx.sh ./
上述fpm命令可能没有需要安装,安装步骤如下:
sudo apt-get install ruby ruby-dev rubygems build-essential sudo gem install --no-document fpm
上述操作没什么问题的话,那么就可以直接通过Python搭建一个简易web服务端,将此提权文件传至目标靶机,然后执行提权即可
python -m SimpleHTTPServer 8090
