靶场练习3: Funbox2

信息收集阶段

扫描端口

sudo nmap -p- -n -v -sS --max-retries=0 172.16.33.30

发现开放端口21，22，80，扫描版本

sudo nmap -p21,22,80 -sV -A 172.16.33.30

扫描一下敏感目录，没发现有什么有价值的信息，除了一个robots.txt, 访问得到路径 /logs/ , nmap 已经扫出来了。

利用漏洞拿Shell

访问80端口网页，无有用信息，是一个apache 默认页面。

访问路径 /logs , 显示没有该页面。

尝试从 FTP 服务入手，尝试匿名登录，成功登录！

查看所有文件，看看有什么有价值的

可以全部下载下来解压查看，由于 tom.zip 权限跟其他zip权限不同，可以重点关注一下。同时查看一了一下.@users 和.@admins两个文件

直接解压发现需要密码，使用john工具进行暴破解压。

zip2john tom.zip > tom.hash 
# 提取zip文件哈希

cp /usr/share/wordlists/rockyou.txt .
sudo john tom.hash --wordlist=rockyou.txt

暴破出密码后，用密码解压，得到私钥 id_rsa

使用私钥登录服务器

ssh -i id_rsa john@172.16.33.30

看看根目录下有什么文件，看到很多history 文件，查看一下，发现mysql_history文件有密码。

登录成功，查看一下权限，没有 root 权限。尝试使用sudo -s 提权，输入刚才得到的密码，成功提权。

绕过rbash

尝试进入 /root 拿flag，发现 是有限制的 shell，要尝试绕过。

echo $SHELL

发现是/bin/rbash

尝试可不可以换shell , 使用bash 或着 sh，成功绕过。

---

如果您觉得阅读本文对您有帮助，请点一下“推荐”按钮，您的“推荐”将是我最大的写作动力！欢迎各位转载，但是未经作者本人同意，转载文章之后必须在文章页面明显位置给出作者和原文连接，否则保留追究法律责任的权利。