FUNBOX-5靶机

FUNBOX-5靶机

arp-scan -l 扫描靶机IP地址

nmap -sV -Pn -A x.x.x.134 扫描靶机端口

访问80端口是默认的apache页面，扫描目录发现robots.txt文件，发现一个，但是试了发现没有，想到下载页面的提示，这里就没有深究

并不是目录

再次看扫描的目录

在之前的目录下拼上index.php发现是可以访问的，还有wp-content目录也是可以访问的，那么接下来就直接上神器wpscan扫描用户，至于wpscan的用法我前面有一篇文章讲过，这里不做赘述，这里扫描的时候需要指定wp-content的目录

发现两个用户名，由于wp-admin不能访问，所以尝试直接使用ben用户爆破ssh登录

爆破出用户ben的密码为pookie

登录成功

尝试一些常规的手段收集一些信息，没有什么能提权的文件，在home目录下有另外两个用户文件夹，但是都没有权限访问

前面登录进来的时候提示有邮件，id查看一下用户组，发现ben属于mail组，但是不能直接使用mail命令进行查看，使用命令查看后台监听端口，发现110端口，就是邮件端口

切换到adam用户

使用sudo -l命令发现可以使用root身份运行dd命令，可以使用这个命令来修改/etc/passwd文件，从而修改root密码来提权

先使用dd命令将/etc/passwd复制到当前文件夹，由于adam用户没有修改权限，所以将其下载到本地，生成一个以root为密码的密文，然后使用root身份进行修改，然后在发送到靶机上，然后再通过dd命令将修改过后的passwd复制到/etc/目录下，从而覆盖之前的文件，达到修改目的，最终拿到flag

下载到本地

解码里面的乱码

获得权限