扫ip,信息收集
1 | netdiscover -i eth0 |
要求解析才能访问,域名ip绑定
扫出来一个secret没什么用,还是wordpress的架构
1 | wpscan --url xxxxx --api-token -eu //扫描用户 |
1 | wpscan --url --api-token --usernames admin,joe --passwords /usr/share/wordlists/rockyou.txt //爆破admin和joe的密码 |
joe用户不能编辑主题,admin用户也不能写入
hydra爆破一下ftp和ssh的看看能不能登录
1 | joe:12345 |
突破rbash的限制
我这边是用python的pty和bash直接用了bash的shell
ftp下面下载了一封邮件,应该是给root和funny的备份的提醒mail
查看了.bash_history文件,发现了个.backup.sh的备份的shell脚本
funny用户是2分钟执行一次.backup.sh
查看syslog文件,会发现其实root隔5分钟就会执行.backup.sh脚本
1 | cat syslog | grep root |
查看root用户的crontab的时程表,5分钟执行一次.backup.sh。
root和funny应该会交替执行这个脚本,所以要等到是root的时候,不是root就退出就好了
其他参考:
1.
https://rene-manqueros.medium.com/funbox-ctf-vulnhub-walkthrough-33a0a135f77b
2.
https://www.linkedin.com/pulse/vulnhub-funbox-1-walkthrough-ivan-glinkin
3.
https://www.doyler.net/security-not-included/vulnhub-funbox-1-walkthrough
4.
https://tzion0.medium.com/funbox-vulnhub-walkthrough-afd21c8fd491