当前位置：首页 > article >正文

攻防靶场(32)：两个爆破技巧 Funbox 7 EasyEnum

article 2025/1/8 14:29:35

攻击路径一

1. 侦查

1.1 收集目标网络信息：IP地址

1.2 主动扫描：扫描IP地址段

1.3 主动扫描：字典扫描

2. 初始访问

2.1 有效帐号：本地账户

3. 权限提升

3.1 滥用特权控制机制：Sudo和Sudo缓存

4. 凭据访问

4.1 凭据转储：/etc/passwd和/etc/shadow

4.2 暴力破解：密码破解

4.3 暴力破解：密码破解

攻击路径二

1. 侦查

1.1 收集目标网络信息：IP地址

1.2 主动扫描：扫描IP地址段

1.3 主动扫描：字典扫描

2. 初始访问

2.1 利用面向公众的应用

3. 凭据访问

4.1 不安全的凭据：文件中的凭据

4.2 暴力破解：密码喷洒

4. 权限提升

4.1 滥用特权控制机制：Sudo和Sudo缓存

靶场下载地址：https://www.vulnhub.com/entry/funbox-easyenum,565/

攻击路径一

1. 侦查

1.1 收集目标网络信息：IP地址

靶机启动后，没有提供IP地址。由于Kali和靶机在同一个C段，可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH、80/HTTP。

1.3 主动扫描：字典扫描

访问80端口，发现是Apache默认页面。

扫描网站目录和页面，发现phpmyadmin目录、secret目录。

在secret目录获得5个用户名：harry、sally、goat、oracle、lissy。

2. 初始访问

2.1 有效帐号：本地账户

使用这5个用户名爆破ssh和phpmyadmin，最终爆破ssh成功，获得goat用户权限。

【hydra爆破ssh的小技巧】

hydra默认是帐号优先，即每个帐号把所有密码都爆破一遍才会爆破下一个帐号，而密码字典往往比帐号字典大得多，因此效率极低。

建议使用-u参数改为密码优先，即每个帐号把一个密码都爆破一遍才会爆破下一个密码。

【作业】

本靶场中，帐号字典secret.txt有5个帐号，其中goat是第3个；密码字典rockyou.txt有14344392个密码，其中正确密码thebest是第845个。

请问帐号优先和密码优先的爆破方式，分别会在第几次爆破出goat帐号的正确密码？请在评论区回复你的答案。

3. 权限提升

3.1 滥用特权控制机制：Sudo和Sudo缓存

goat用户能以root用户的权限执行mysql命令，mysql命令可用于提权，最终获得root用户权限。

4. 凭据访问

4.1 凭据转储：/etc/passwd和/etc/shadow

在/etc/passwd中发现oracle用户的密文密码

爆破密文密码，得到明文密码，最终获得oracle用户权限。

但该用户权限一点额外作用都没有。

4.2 暴力破解：密码破解

goat用户能以root用户的权限执行mysql命令，尝试以root用户的权限免密登录mysql，竟然成功

在db1库的users表中，发现harry的密文密码，可解密成明文密码，最终获得harry用户权限。

但该用户权限一点额外作用都没有。

4.3 暴力破解：密码破解

在mysql库的user表中，发现phpmyadmin的密文密码，可解密成明文密码，获得数据库的phpmyadmin用户权限。

该用户权限的作用在攻击路径二中会说明。