Vulnhub-靶机-SYMFONOS: 2

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/symfonos-2,331/

得知开放了445端口，继续看看有什么可利用的文件信息，探测目标靶机开放的匿名目录

直接匿名登录anonymous

查看log.txt文件

从上述log.txt文件中得到两个信息，一个是有shadow.txt文件备份在了共享文件夹，然后目标靶机的共享文件夹的绝对路径是/home/aeolus/share/ 那么根据这两个现象一个思路就是再拷贝/etc/passwd文件到共享文件夹中然后将其下来下来使用unshadow处理一下通过john进行破解目标靶机的ssh密码， 这里拷贝的方式是根据上面nmap扫描出来的ftp服务漏洞进行利用操作，具体如下：

通过下面操作获得目标靶机ftp服务的文件复制漏洞

 

根据上面提示就有如下的复制文件操作，登录ftp账号密码随便输入就可以

使用unshadow处理一下

使用john进行密码破解  john --wordlist=/usr/share/wordlists/rockyou.txt bmfxhash.txt

最终得出用户名和密码为  aeolus/sergioteamo  直接使用ssh进行连接，连接上去之后使用提权脚本发现存在nmap命令，使用nmap扫描下本地看看开放了哪些端口，本想使用netstat，发现没有此命令

使用kali访问了下发现访问不了，只好使用ssh进行本地端口转发 ，本地端口转发是在本地kali下操作 ssh -Nf -L 9933:127.0.0.1:8080 aeolus@192.168.56.107

使用kali的本地浏览器直接访问回环口的9933端口，得到如下信息：

 确认是librenms 直接使用metasploit进行搜索是否存在漏洞

确认有可直接利用的漏洞，一把嗦

直接sudo发现mysql可以提权

提权参考：https://gtfobins.github.io/gtfobins/mysql/

根据上述提权信息，可以直接进行提权，具体看如下操作：sudo -u root mysql -e '\! /bin/bash'

参考提权脚本：https://github.com/sleventyeleven/linuxprivchecker