FUNBOX-5靶机

FUNBOX-5靶机

arp-scan -l 扫描靶机IP地址

FUNBOX-5靶机_第1张图片

nmap -sV -Pn -A x.x.x.134 扫描靶机端口

FUNBOX-5靶机_第2张图片

访问80端口是默认的apache页面,扫描目录发现robots.txt文件,发现一个,但是试了发现没有,想到下载页面的提示,这里就没有深究

并不是目录

FUNBOX-5靶机_第3张图片

再次看扫描的目录

FUNBOX-5靶机_第4张图片

在之前的目录下拼上index.php发现是可以访问的,还有wp-content目录也是可以访问的,那么接下来就直接上神器wpscan扫描用户,至于wpscan的用法我前面有一篇文章讲过,这里不做赘述,这里扫描的时候需要指定wp-content的目录

FUNBOX-5靶机_第5张图片

发现两个用户名,由于wp-admin不能访问,所以尝试直接使用ben用户爆破ssh登录

FUNBOX-5靶机_第6张图片

爆破出用户ben的密码为pookie

FUNBOX-5靶机_第7张图片

登录成功

尝试一些常规的手段收集一些信息,没有什么能提权的文件,在home目录下有另外两个用户文件夹,但是都没有权限访问

FUNBOX-5靶机_第8张图片

FUNBOX-5靶机_第9张图片

前面登录进来的时候提示有邮件,id查看一下用户组,发现ben属于mail组,但是不能直接使用mail命令进行查看,使用命令查看后台监听端口,发现110端口,就是邮件端口

FUNBOX-5靶机_第10张图片

FUNBOX-5靶机_第11张图片

FUNBOX-5靶机_第12张图片

FUNBOX-5靶机_第13张图片

切换到adam用户

FUNBOX-5靶机_第14张图片

使用sudo -l命令发现可以使用root身份运行dd命令,可以使用这个命令来修改/etc/passwd文件,从而修改root密码来提权

FUNBOX-5靶机_第15张图片

先使用dd命令将/etc/passwd复制到当前文件夹,由于adam用户没有修改权限,所以将其下载到本地,生成一个以root为密码的密文,然后使用root身份进行修改,然后在发送到靶机上,然后再通过dd命令将修改过后的passwd复制到/etc/目录下,从而覆盖之前的文件,达到修改目的,最终拿到flag

FUNBOX-5靶机_第16张图片

下载到本地

解码里面的乱码

FUNBOX-5靶机_第17张图片

获得权限

FUNBOX-5靶机_第18张图片

你可能感兴趣的:(靶机,ssh,linux)