Vulnhub靶机:FunBox 3

一、介绍

运行环境:Virtualbox

攻击机:kali(10.0.2.15)

靶机:FunBox 3(10.0.2.28)

目标:获取靶机root权限和flag

靶机下载地址:https://download.vulnhub.com/funbox/Funbox3.ova

二、信息收集

使用nmap主机发现靶机ip:10.0.2.28

Vulnhub靶机:FunBox 3_第1张图片

使用nmap端口扫描发现靶机开放端口:22、80

Vulnhub靶机:FunBox 3_第2张图片

打开网站发现是apache2的默认页面,查看源码,未发现隐藏信息

使用dirb和dirsearch工具进行目录爆破

Vulnhub靶机:FunBox 3_第3张图片
Vulnhub靶机:FunBox 3_第4张图片

一个一个页面访问看看有没有可利用的功能点或文件

发现存在数据库文件,找到用户名admin和使用MD5加密的密码

http://10.0.2.28/store/database/

Vulnhub靶机:FunBox 3_第5张图片
Vulnhub靶机:FunBox 3_第6张图片

使用在线网站解密,得到密码:admin

Vulnhub靶机:FunBox 3_第7张图片

三、漏洞利用

使用admin用户登录,网站是一个书店网站

http://10.0.2.28/store/admin.php

Vulnhub靶机:FunBox 3_第8张图片
Vulnhub靶机:FunBox 3_第9张图片

点击Add new book,存在上传图片的地方,可以尝试上传webshell

Vulnhub靶机:FunBox 3_第10张图片

添加新书会显示失败,但webshell成功上传:http://10.0.2.28/store/bootstrap/img/

Vulnhub靶机:FunBox 3_第11张图片

靶机使用nc监听4444端口,点击webshell执行获取shell

Vulnhub靶机:FunBox 3_第12张图片

查看是否安装python,使用python获取交互式shell

which python3
python3 -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

四、提权

查看是否有特权文件和具有可利用的root权限的文件,发现/usr/lib/policykit-1/polkit-agent-helper-1可利用exp提权,但靶机没有gcc,利用不了

在这里插入图片描述

/home/tony目录下发现password.txt文件,里面保存有ssh的密码,ssh密码:yxcvbnmYYY

Vulnhub靶机:FunBox 3_第13张图片

ssh登录tony用户

ssh [email protected]

Vulnhub靶机:FunBox 3_第14张图片

在tony用户查看有什么特权文件

sudo -l

Vulnhub靶机:FunBox 3_第15张图片

可以访问网站:https://gtfobins.github.io/,查找各个命令的提权的具体方法

sudo pkexec /bin/sh

Vulnhub靶机:FunBox 3_第16张图片

提权成功

在这里插入图片描述

获取flag

Vulnhub靶机:FunBox 3_第17张图片

你可能感兴趣的:(靶场,web安全)