靶机实战(4):Funbox: Rookie

最新推荐文章于 2024-05-27 21:44:40 发布
最新推荐文章于 2024-05-27 21:44:40 发布
阅读量974 收藏 21
点赞数 21
文章标签: 安全 网络 web安全 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53721197/article/details/135331700
版权

靶机官方:Funbox: Rookie[1]

实战思路:

  1. 一、主机发现

  2. 二、端口发现(服务、组件、版本)

  3. 三、漏洞发现(获取权限)

    1. 21端口/FTP服务

      1. 组件漏洞

      2. 口令漏洞 4

    2. 22端口/SSH服务 9

      1. 组件漏洞 9

      2. 口令漏洞 10

      3. 口令泄露 10

    3. 80端口/HTTP服务 11

      1. 组件漏洞 11

      2. URL漏洞(目录、文件) 12

  4. 四、越权提权 15

    1. sudo 15

    2. suid 15

    3. 信息收集 18

    4. sudo

一、主机发现

本次攻击指定IP,不涉及主机发现过程。

二、端口发现(服务、组件、版本)

使用命令sudo -u root nmap 172.16.33.30 -n -Pn -p- --reason -sV -sC -O获得主机开放的端口、提供的服务、使用的组件、组件的版本。

5c5b7ebbf5adcd14640aa288eda56955.png

开放的端口

提供的服务

使用的组件

组件的版本

21/tcp

ftp

ProFTPD

1.3.5e

22/tcp

ssh

OpenSSH

7.6p1

80/tcp

http

Apache httpd

2.4.29

-

os

Ubuntu Linux

三、漏洞发现(获取权限)

21端口/FTP服务

组件漏洞

使用命令 searchsploit ProFTPD 1.3.5e searchsploit ProFTPD 1.3.5,发现1.3.5版本存在多个RCE漏洞的EXP。

a37e8cbff120ada21fd1758945d20f0c.png

查看发现都是CVE-2015-3306漏洞,在1.3.5a版本中已修复,因此这里的1.3.5e版本不受影响。    

34210f190bf7b61a0c9555150ad48ca9.png

c4de75cf666c1f3818f42eeac3dcf608.png

但是EXP找都找到了,不影响也试试呗,试完发现确实不受影响。    

2377ca5e6d7ddb61fbdac61917385f1d.png

口令漏洞

使用命令ftp 172.16.33.30连接FTP服务,使用匿名账号anonymous空口令登录,使用命令dir查看文件情况,发现有很多文件。

先使用命令prompt off关闭交互模式,避免批量下载文件时每个文件都询问是否下载;再使用命令mget *批量下载所有文件,最后使用命令bye退出FTP服务。

备注:后来发现使用命令dir -lals -la可以查看隐藏文件的情况,虽然此处帮助不大。

282d2ced399294bfef00636e0772ad70.png

使用命令for f in $(ls *.zip); do unzip $f; done;解压缩所有压缩包,发现所有压缩包都需要密码才能解压缩。  

963006ffde44b7167610d127ef1c8f30.png

使用命令for f in $(ls *.zip); do zipinfo $f; done; 查看所有压缩包里的文件,发现都是SSH私钥文件id_rsa。由此可知,压缩包的文件名是SSH用户名,压缩包里是对应的SSH私钥。 

2e604469c662568e04871ffd9775c71f.png

使用命令zip2john marge.zip > marge.hashjohn marge.john爆破压缩包的解压密码,无收获。

46d3c7a1efc36625536ccb2ad790302c.png

备注:前面都是对单个压缩包爆破解压密码,无收获就去查看22端口和80端口了。后面倒回来才对所有压缩包爆破解压密码,也就是下文。

使用命令for f in $(ls *.zip); do zip2john $f > $f.john; done;for f in $(ls *.zip.john); do john $f; done;批量爆破压缩包的解压密码,获得cathrine.zip的解压缩密码catwomantom.zip的解压缩密码iubire

aa8f7b8d2ba219e17876f99a50ad4e64.png

56300be5e869e2c99a50d2edf43290fa.png

最终获得cathrinetom的用户名和SSH密钥。

a39ab758e0f0c0d03073f55f99ad3c0c.png

22端口/SSH服务

组件漏洞

使用命令searchsploit OpenSSH 7.6,发现3个EXP,均是CVE-2018-15473用户名枚举漏洞。

15304d31e8ce2a9e5e1250cb04c30546.png

本来想验证一下前面拿到的SSH用户名是否真实存在,结果EXP的执行结果不准,只能放弃。

64c6896209f8655effe5dd6cb62513a1.png

口令漏洞

基于前面拿到的SSH用户名,外加root用户名,使用命令hydra -L user.txt -P /usr/share/seclists/Passwords/500-worst-passwords.txt 172.16.33.30 ssh,未爆破出弱口令。

abdc015e06d905959032893be0c9c340.png

口令泄露

使用命令ssh tom@172.16.33.30 -i tom_id_rsa,发现前面获得的cathrinetom的SSH密钥,只有tom能成功登录,可能是cathrine用户更新了SSH密钥。

8087bd07f40ed94e229bf4a540cd5ae1.png

80端口/HTTP服务

组件漏洞

使用命令searchsploit Apache 2.4.29searchsploit httpd 2.4.29,除了本地提权外,未发现其它可利用漏洞。

37a38aafd389228353bc216b35be91b3.png

使用Wappalyzer、FindSomething自动识别网站组件,无收获。

d3e03afe089d43fac0aaa4bd470582fd.png

URL漏洞(目录、文件)

01、手动浏览

访问首页http://172.16.33.30/,发现啥也没有,是中间件默认页面。

1af95c1c161f6312ece598b070d8afd4.png

02、目录扫描

使用命令dirb http://172.16.33.30/ /usr/share/seclists/Discovery/Web-Content/common.txt -R对网站目录和文件进行遍历,发现/index.html文件和/robots.txt文件,约等于没有任何发现。

43540a14e120dcfcbe9de378ddccb59a.png

7fffe790e62f60f6011b3a20e37307f2.png

6ef07ec0a7bda3af04799a566d2abe6c.png

/robots.txt文件中的/logs/目录下也是空的。

4fb8b8e92e09e7fbe97b3a86cd4ab823.png

03、模糊测试

基于目前已知信息,没有对网站的目录和文件进行FUZZ的必要。

04、信息收集

前面在Firefox翻找网站的流量全都走Burp Suite代理,在Burp Suite中未发现敏感信息泄露。    

2e638c8b0300166a7654433de0e7b366.png

四、越权提权

sudo

使用命令sudo -l查看tom用户的特权命令,发现需要tom用户的SSH密码才能执行。

31ce06408be72a834e12d879817b4a31.png

suid

使用命令find / -perm -u=s -ls 2>/dev/null查看特权程序,发现比较多的系统命令,但在GTFOBins[2]并未搜索到可用于suid提权的。

527c65af03fac69f2ee4dd696d9b3579.png

信息收集

使用命令ls -la查看文件情况,发现.mysql_history文件。使用命令cat .mysql_history查看文件内容,发现不知道是什么服务的账号tom和密码xx11yy22!

cc575cab82719eff196c60ae4236c18e.png

尝试看看这个账号密码能否登录SSH服务,竟然登录成功,获得用户tom的SSH密码xx11yy22!

那么为什么能在MySQL数据库中找到SSH服务的账号密码?我想应该是受害人在多个平台都使用了相同的账号密码吧,所以我们能在拿到A系统的账号密码后(MySQL数据库中),用于登录B系统(SSH服务)。

04117e03ca8281cf520f1ef767b33c51.png

sudo

使用命令sudo -l查看tom用户的特权命令,输入SSH密码后,发现(ALL : ALL) ALL,用户tom可以执行所有命令。那就执行一下切换到root用户的命令sudo su,获得root账号的权限。

06a4c00b9d033af06d4e88dcf9016abd.png

参考资料

[1]

Funbox: Rookie: https://www.vulnhub.com/entry/funbox-rookie,520/

[2]

GTFOBins: https://gtfobins.github.io/

OneMoreThink
关注
  • 21
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulnhub-Funbox: RookieFunbox2)靶机渗透
m0_68117643的博客
07-07 1124
关于Funbox2这台靶机,运行在Vmware中无法获取靶机IP,尝试桥接、NAT、仅主机三种模式均无果,无奈转用VirtualBox,但NAT和桥接模式下也获取不到IP,仅在host-only模式下才可获取到靶机IP
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
PG::FunboxRookie
aya3t的博客
11-28 217
PROVING GROUNDS::FunboxRookie
kali对Funbox2-Rookie靶场渗透测试练习
最新发布
勤能补拙
05-27 647
本实验通过信息收集和目录扫描,利用FTP匿名登录获取敏感文件。接着,使用John工具破解密码,解压后获取SSH私钥以登录SSH并获取shell。最后,通过信息收集获取账号密码,并执行sudo提权操作。
vulnhub Funbox: Rookiefunbox2)
箭雨镜屋
04-05 3915
渗透思路:nmap扫描 ---- ftp匿名访问并下载压缩包 ---- fcrackzip暴力破解zip密码 ---- ssh私钥登录并绕过rbash ---- sudo su提权/lxd group提权
vulnhub-funbox-2-funxbox-rookie rookie wp
yutianovo的博客
09-14 430
靶机描述 Boot2Root ! This can be a real life scenario if rockies becomes admins. Easy going in round about 15 mins. Bit more, if you are find and stuck in the rabbit-hole first. This VM is created/tested with Virtualbox. Maybe it works with vmware. If you ne
靶机渗透练习23-Funbox2-Rookie
hirak0的博客
04-18 1511
靶机描述 靶机地址:https://www.vulnhub.com/entry/funbox-rookie,520/ Description Boot2Root ! This can be a real life scenario if rockies becomes admins. Easy going in round about 15 mins. Bit more, if you are find and stuck in the rabbit-hole first. This VM is cre
Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)
01-09
这次的靶机是Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ...
Vulnhub靶机系列:De-ICE: S1.120
01-09
文章目录靶机地址靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址 https://www.vulnhub.com/entry/de-ice-s1120,10/ 靶机设置 靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有...
CTF6靶机实战.zip
05-25
本压缩包“CTF6靶机实战.zip”显然是一份用于CTF比赛的学习资料,包含了实战过程、反弹shell文件以及针对特定系统版本漏洞的利用脚本。 首先,我们要理解靶机的概念。在网络安全领域,靶机是模拟真实网络环境的...
dc-4靶机练习.docx
01-02
第一步;靶机web信息收集,burp获取登陆用户名和密码。 第二步:利用反弹shell后发现一封邮件,拿到新... 第三步:通过sudo -l]发现不用登录root可以使用的命令 [teehee --help][teehee -a]增加用户,具有root权限
看完这篇 教你玩转渗透测试靶机vulnhub——EvilBox-One
Aluxian_的博客
07-15 5430
Vulnhub靶机Web1渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 老样子需要找到flag即可。 Vulnhub靶机下载: 官网地址:https://download.vulnhub.com/evilbox/EvilBox—One.ova
渗透测试:Linux提权精讲(四,我了解到的面试的一些小内幕
sfdsfgdgd的博客
04-09 611
外链图片转存中…(img-8TuwcDoN-1712637758928)][外链图片转存中…(img-arMKW7U0-1712637758929)][外链图片转存中…(img-RYu9FTqi-1712637758929)][外链图片转存中…(img-UzooonR4-1712637758930)]
渗透测试:Linux提权精讲(二)之sudo方法第二期
Bossfrank的博客
07-31 476
本文详解了渗透测试过程种获取初始立足点(通常是某个shell)后的利用sudo指令的提权方法(第二期),并对提权的原理和本质进行了介绍。总结了12种sudo提权方法,分别是sudo expect,sudo fail2ban, sudo find, sudo flock, sudo ftp, sudo gcc, sudo gdb, sudo git, sudo gzip/gunzip, sudo iftop, sudo hping3, sudo java。
Funbox10靶机详解
weixin_44681307的博客
07-21 267
执行后发现拿到一个shell,但是这个shell权限很低,命令都不能用,就像做一个反弹shell。我wget能下载文件的原因是我在kali上开启了apache2服务,常用文件放一起就好了。我们进去这个目录看看,cat一下发现点线索,一看这就是一个base64编码的。最难的就是反弹shell,学会了一些新的反弹shell命令。文件,里面有一个jack用户的账号密码,su一下就登陆上了。进去后发现有点像一个CMS,就去搜索了一下有没有漏洞。这个靶机扫描ip并没有什么有用的东西,就不展示了。
全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(一)Tr0ll
hyjcking的博客
11-20 2013
超级详细的步骤,希望可以为你解决这台靶机提供思路 说实话这个靶机不算难,但是却能比较好的巩固自己的基础知识,期间也遇到了自己不太懂的知识,会做和做的快是有区别的,在渗透这条路上还是任重而道远呐,继续加油
FUNBOX_SCRIPTKIDDIE靶机详解
weixin_44681307的博客
07-25 304
这个靶场给了太多的干扰因素,当你打完后反过来再看是非常简单的一个靶场,但是你打的过程中却会觉得非常难,干扰因素实在天多了。对IP进行一个单独扫描后发现开了一个ProFTPD 1.3.3c的FTP,直接对这个搜索了一下。里面给出就两天命令就可以拿到root权限了,输入后直接root,很简单。题目中给了说加一条hosts,实际没用上。发现有两个可以利用的,我选择的是第二个。
Vulnhub靶机FunBox11
qq_48904485的博客
01-26 469
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机FunBox11(10.0.2.36)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/funbox-scriptkiddie,725/
vulnhub靶机——raven: 2
09-03
Raven: 2是一台中级难度的boot2root虚拟机,目标是获取四个标志(flag)。Raven Security在多次遭受入侵后,采取了额外措施来加固他们的web服务器,以防止黑客入侵。你可以在Vulnhub上找到Raven: 2的ova文件,并使用VirtualBox打开。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [vulnhub靶机raven2](https://blog.csdn.net/weixin_52450702/article/details/127811079)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [vulnhub靶机——RAVEN: 2](https://blog.csdn.net/qq_44029310/article/details/126491848)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)](https://download.csdn.net/download/weixin_38717843/14052717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值