一、介绍
运行环境:Virtualbox
攻击机:kali(10.0.2.15)
靶机:FunBox 3(10.0.2.28)
目标:获取靶机root权限和flag
靶机下载地址:https://download.vulnhub.com/funbox/Funbox3.ova
二、信息收集
使用nmap主机发现靶机ip:10.0.2.28
使用nmap端口扫描发现靶机开放端口:22、80
打开网站发现是apache2的默认页面,查看源码,未发现隐藏信息
使用dirb和dirsearch工具进行目录爆破
一个一个页面访问看看有没有可利用的功能点或文件
发现存在数据库文件,找到用户名admin和使用MD5加密的密码
http://10.0.2.28/store/database/
使用在线网站解密,得到密码:admin
三、漏洞利用
使用admin用户登录,网站是一个书店网站
http://10.0.2.28/store/admin.php
点击Add new book,存在上传图片的地方,可以尝试上传webshell
添加新书会显示失败,但webshell成功上传:http://10.0.2.28/store/bootstrap/img/
靶机使用nc监听4444端口,点击webshell执行获取shell
查看是否安装python,使用python获取交互式shell
which python3
python3 -c 'import pty; pty.spawn("/bin/bash")'
四、提权
查看是否有特权文件和具有可利用的root权限的文件,发现/usr/lib/policykit-1/polkit-agent-helper-1可利用exp提权,但靶机没有gcc,利用不了
在/home/tony目录下发现password.txt文件,里面保存有ssh的密码,ssh密码:yxcvbnmYYY
ssh登录tony用户
ssh tony@10.0.2.28
在tony用户查看有什么特权文件
sudo -l
可以访问网站:https://gtfobins.github.io/,查找各个命令的提权的具体方法
sudo pkexec /bin/sh
提权成功
获取flag
