目录

靶场下载地址：https://www.vulnhub.com/entry/funbox-easyenum,565/

攻击路径一

1. 侦查

1.1 收集目标网络信息：IP地址

靶机启动后，没有提供IP地址。由于Kali和靶机在同一个C段，可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH、80/HTTP。

1.3 主动扫描：字典扫描

访问80端口，发现是Apache默认页面。

扫描网站目录和页面，发现phpmyadmin目录、secret目录。

在secret目录获得5个用户名：harry、sally、goat、oracle、lissy。

2. 初始访问

2.1 有效帐号：本地账户

使用这5个用户名爆破ssh和phpmyadmin，最终爆破ssh成功，获得goat用户权限。

【hydra爆破ssh的小技巧】

hydra默认是帐号优先，即每个帐号把所有密码都爆破一遍才会爆破下一个帐号，而密码字典往往比帐号字典大得多，因此效率极低。

建议使用-u参数改为密码优先，即每个帐号把一个密码都爆破一遍才会爆破下一个密码。

【作业】

本靶场中，帐号字典secret.txt有5个帐号，其中goat是第3个；密码字典rockyou.txt有14344392个密码，其中正确密码thebest是第845个。

请问帐号优先和密码优先的爆破方式，分别会在第几次爆破出goat帐号的正确密码？请在评论区回复你的答案。

3. 权限提升

3.1 滥用特权控制机制：Sudo和Sudo缓存

goat用户能以root用户的权限执行mysql命令，mysql命令可用于提权，最终获得root用户权限。

4. 凭据访问

4.1 凭据转储：/etc/passwd和/etc/shadow

在/etc/passwd中发现oracle用户的密文密码

爆破密文密码，得到明文密码，最终获得oracle用户权限。

但该用户权限一点额外作用都没有。

4.2 暴力破解：密码破解

goat用户能以root用户的权限执行mysql命令，尝试以root用户的权限免密登录mysql，竟然成功

在db1库的users表中，发现harry的密文密码，可解密成明文密码，最终获得harry用户权限。

但该用户权限一点额外作用都没有。

4.3 暴力破解：密码破解

在mysql库的user表中，发现phpmyadmin的密文密码，可解密成明文密码，获得数据库的phpmyadmin用户权限。

该用户权限的作用在攻击路径二中会说明。

攻击路径二

1. 侦查

1.1 收集目标网络信息：IP地址

同攻击路径一，略

1.2 主动扫描：扫描IP地址段

同攻击路径一，略

1.3 主动扫描：字典扫描

增加网页后缀，扫描网站目录和页面，发现mini.php页面。

【drib爆破web的小技巧】

爆破网站的字典，其实更适合用来爆破网站目录，而不是爆破网站页面。因为网站页面是有后缀的，不同文件类型（.txt,.zip）和后端语言（.php,.jsp）的网站页面，后缀还不一样。

因此，在爆破没有成果时，除了考虑换一个字典外（针对网站路径），建议还考虑一下增加些网页后缀（针对网站页面）。

【作业】

请问攻击路径一和二中 “1.3 主动扫描：字典扫描” 的关键成果分别是什么？请在评论区回复你的答案。

2. 初始访问

2.1 利用面向公众的应用

mini.php页面存在文件上传漏洞，可以上传反弹shell文件，最终获得www-data用户权限。

3. 凭据访问

3.1 不安全的凭据：文件中的凭据

使用www-data用户组的权限，查看phpmyadmin的数据库配置文件，获得数据库的phpmyadmin用户权限。

3.2 暴力破解：密码喷洒

整理ssh的用户名称，使用数据库的phpmyadmin用户的密码进行密码喷洒攻击，最终获得karla用户权限。

4. 权限提升

4.1 滥用特权控制机制：Sudo和Sudo缓存

karla用户能以root用户的权限执行任意命令，那就执行切换到root用户的命令，最终获得root用户权限。