Vulnhub之jangow打靶思路

一. Vulnhub之jangow打靶思路

1. 打靶思路总结

1
2
3
信息收集-命令执行-getshell-FTP登陆-不出网反弹shell-ptyshell-SSH登陆-dirtycow提权,最终拿到root权限,获取Flag。
* 攻击机:Kali,本机
* 目标靶机:jangow

2. 信息收集

靶机IP:192.168.56.118,Nmap进行端口扫描,靶机开放80以及21FTP端口,尝试FTP弱口令是否能登陆,经测试,anoymous/anoymous弱口令不存在。
image-20220906090413848
随后访问80端口,web站点出现,PHP站点+Apache中间件。
image-20220906090652344
尝试进行目录扫描:只发现了静态资源文件夹

image-20220906090900177

尝试访问其它界面:http://192.168.56.118/site/busque.php?buscar=

bp进行不断Fuzz,命令执行漏洞X1

image-20220906091733028

image-20220906091758275

3.一句话木马Getshell

既然存在命令执行,尝试使用PHP反弹shell试试,PHP反弹shell失败,怀疑不出网

查看系统有无python,使用python反弹shell,nc没反应,大概率就是不出网

image-20220906093246928

随后转变思路,尝试echo一句话进去,哥斯拉生成php马

1
echo '<?php eval($_POST["ace"]);' > ace.php

image-20220906093504511

木马成功写入,使用哥斯拉连接,随后查看站点目录有无可用信息等,发现数据库连接信息,但是数据库服务未开启,但站点开启了21FTP端口,尝试此账号密码登陆失败。

image-20220906094307307

继续找别的敏感信息,随后再整站目录下发现另外一个数据库连接账号密码的备份文件。

image-20220906094526336

继续尝试用账号密码进行FTP登陆,提示登陆成功

image-20220906094945305

随后cd到不同的目录中,查找文件,由于当前为www权限,进入目录很多无权限。进入到home目录下,发现关键信息

image-20220906095339610

jangow01文件夹下存放了user.txt,使用FTP命令下载到本地打开

image-20220906095505639

第一个Flag已拿到:d41d8cd98f00b204e9800998ecf8427e

4.反弹Shell

哥斯拉的中有不出网反弹shell的模块:RealCmd,填好参数后,尝试进行shell反弹

image-20220906100009327

本地nc监听4444即可:

image-20220906100050613

反弹成功,但是此时反弹回来的shell很多命令都没办法使用,比如top,vim,sudo等

image-20220906100408742

如果此时目标主机存在python环境的话,我们可以尝试使用ptyshell可以实现简单的tty。

whereis python查看有无python环境,信息收集的时候我们已经得知,靶机有python3环境,于是直接运行:

1
python3 -c 'import pty; pty.spawn("/bin/bash")'

image-20220906100745376

然后就可以尝试各种命令了,再查看端口的时候,发现开放了22SSH端口:

image-20220906101132959

如果可以SSH登陆进去,那就很方便了。

尝试SSH登陆,使用刚刚的FTP账号密码进行尝试。吼,登陆成功

image-20220906101345677

5.提权(1)

目前针对这台主机已经拿下webshell,FTP账号密码,SSH账号密码,但是shell权限是www,无法查看root下的文件,那就提权。

uname -a 得知是ubuntu 4.4.0,,Kali直接:searchspolit 4.4.0

image-20220906101752814

image-20220906102009208

也可直接百度搜索ubuntu 4.4.0提权等等,在此我使用的是脏牛或者CVE-2021-4034

首先查看目标主机是否安装gcc

image-20220906102738555

随后上传CVE-2021-4034到/tmp临时目录下,使用FTP上传或者哥斯拉上传都可以。

image-20220906102915257

随后进入到tmp目录下,随后编译此文件

image-20220906103132062

编译成功后会在当前目录生成exp文件

image-20220906103211632

随后./exp进行提权操作,成功提升至root权限!

image-20220906103301651

进入root目录下查看文件

image-20220906103337556

读取proof.txt,第二个Flag拿到

image-20220906103414524

6.提权(2)

继续使用脏牛提权

原理同上,上传至tmp目录下,随后进行编译

image-20220906103638276

编译成功:

image-20220906103854899

进行提权:

然后系统死机了???打靶结束。