运行环境:Virtualbox
攻击机:kali(10.0.2.15)
靶机:FunBox 5(10.0.2.30)
目标:获取靶机root权限和flag
靶机下载地址:https://www.vulnhub.com/entry/funbox-next-level,547/
使用nmap主机发现靶机ip:10.0.2.30
使用nmap端口扫描发现靶机开放端口:22、80
直接访问网站,发现是apache2的默认页面,查看源码没有隐藏信息
使用dirsearch进行目录爆破,发现一个目录\drupal\
,但访问该目录,网站会自动跳转到http://192.168.178.33/drupal/
,可能是该网站做了什么配置吧
我们可以把靶机的ip设置为静态ip192.168.178.33,再来做渗透
重新配置虚拟网络,将靶机和主机网段设置为192.168.178.0/24
因为靶机我们是不知道账号密码的。所以只能通过拯救模式进行操作。
按下e键,就可进入以下界面
在末尾处,找到ro,将ro 替换为 rw signie init=/bin/bash
按下Ctrl键+X键,重启服务进入如下界面
修改网络配置文件,设置静态ip,设置保存后重启靶机
vim /etc/network/interfaces
#在文档添加
address 192.168.178.33
netmask 255.255.255.0
后续的kali IP变更为192.168.178.4,靶机ip变更为192.168.178.33
使用nmap主机发现靶机ip:192.168.178.33
使用dirb工具对网站进行目录爆破,发现目录/drupal/
网站为wordpress框架搭建的
dirb http://192.168.178.33
直接访问,发现主页存在flag,使用base64解密得到
From now on, you knew about me without a “droopscan”
直接上wpscan进行扫描,枚举到两个用户名:admin、ben
wpscan --url http://192.168.178.33/drupal/ --enumerate u,p,t --plugins-detection aggressive --detection-mode aggressive
尝试使用这两个用户名爆破该网站,没爆破出来
wpscan --url http://192.168.178.33/drupal/ -P /usr/share/wordlists/rockyou.txt -U user0.txt -t 100
再尝试使用这两个用户名,爆破ssh,爆破了很久,电脑太垃圾了,还没爆破完,直接看网上的wp了,用户名密码:ben\pookie
hydra -L user0.txt -P /usr/share/wordlists/rockyou.txt 192.168.178.33 ssh
登录ssh
额,发现这个用户的权限被限制,很多命令都不能用,连最基本的查看文件命令cat、less等都用不了
发现用户ben在mail组里面,并且在/var/mail/
目录里面发现存在一些邮件,但查看不了
有邮件那是不是开放110,143端口呢,可不可以通过连接110端口进行查看邮件
查看靶机开放端口:netstat -antp
发现开放110、143端口,使用telnet协议连接110端口,并使用ben用户凭据登录
telnet 127.0.0.1 110
user ben
pass pookie
使用list
命令列出每封邮件的字节数,发现有封邮件,使用retr n
命令查看邮件内容,发现第3封邮件存在一个用户的用户名密码:adam: qwedsayxc!
使用获得的凭据登录ssh
查看是否有特权命令sudo -l
,发现存在三个特权命令,查看这些命令的提权利用方法
该命令可以写入具有root权限的文件,执行命令进行写入文件/etc/sudoers
,设置adam用户具有全部的特权命令
LFILE=/etc/sudoers
echo "adam ALL=(ALL:ALL) ALL" | sudo dd of=$LFILE
可以使用find命令进行提权,提权成功
sudo find /home -exec /bin/bash \;
获取flag
参考链接:靶机渗透练习26-Funbox5-Next Level_ed25519 key fingerprint is sha256-CSDN博客