Funbox10

0x01 信息收集

老规矩nmap扫一下

192.168.56.101存活，并且开放22、25、80、110、143端口。
浏览器访问

爆破一下路径

catalog这个路径有点眼熟呀，访问看看

ok，看到这个页面已经大概知道怎么来了。

0x02 漏洞利用

上面收集到catalog是oscommerce，利用kali的searchsploit查找poc。

有一个远程代码执行的poc可以利用，复制到当前目录

searchsploit -m php/webapps/44374.py

需要修改一下值

需要修改url还有payload，然后运行代码

利用地址: http://192.168.56.101/catalog/install/includes/configure.php
使用蚁剑连接

连接成功。

0x03 反弹shell

写一个php的木马用于反弹shell（这里nc反弹不了），然后蚁剑上传到tmp目录

网站的目录没有权限上传不了，这里是利用本地的php命令运行代码

先在本地开启监听：nc -lvvp 2333，然后再运行php代码

这里进入python的交互式shell：python -c 'import pty; pty.spawn("/bin/bash")'
成功反弹shell。

0x04 提升权限

提权本来想着用内核漏洞的，但是因为环境原因，没弄好编译环境。
然后百度了一下发现是用一个监视本地进程的程序：pspy

下载到本地后，然后上传到目标主机，这里pspy64s无法在目标主机运行，只能用pspy32s。
本地开启监听

目标主机下载文件，并赋予权限

运行文件

等一段时间，出现了可疑进程

查看一下cron.sh文件

这一眼base64，解密看看

账户：root，密码：rfvbgt!!
登录看看

root权限拿flag

完结撒花。

0x05 总结

深夜练习（困~），不算很难，挺简单的。