Vulnhub靶机：FunBox 3

一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.15）

靶机：FunBox 3（10.0.2.28）

目标：获取靶机root权限和flag

靶机下载地址：https://download.vulnhub.com/funbox/Funbox3.ova

二、信息收集

使用nmap主机发现靶机ip：10.0.2.28

使用nmap端口扫描发现靶机开放端口：22、80

打开网站发现是apache2的默认页面，查看源码，未发现隐藏信息

使用dirb和dirsearch工具进行目录爆破

一个一个页面访问看看有没有可利用的功能点或文件

发现存在数据库文件，找到用户名admin和使用MD5加密的密码

http://10.0.2.28/store/database/

使用在线网站解密，得到密码：admin

三、漏洞利用

使用admin用户登录，网站是一个书店网站

http://10.0.2.28/store/admin.php

点击Add new book，存在上传图片的地方，可以尝试上传webshell

添加新书会显示失败，但webshell成功上传：http://10.0.2.28/store/bootstrap/img/

靶机使用nc监听4444端口，点击webshell执行获取shell

查看是否安装python，使用python获取交互式shell

which python3
python3 -c 'import pty; pty.spawn("/bin/bash")'

四、提权

查看是否有特权文件和具有可利用的root权限的文件，发现/usr/lib/policykit-1/polkit-agent-helper-1可利用exp提权，但靶机没有gcc，利用不了

在/home/tony目录下发现password.txt文件，里面保存有ssh的密码，ssh密码：yxcvbnmYYY

ssh登录tony用户

ssh tony@10.0.2.28

在tony用户查看有什么特权文件

sudo -l

可以访问网站：https://gtfobins.github.io/，查找各个命令的提权的具体方法

sudo pkexec /bin/sh

提权成功

获取flag