Vulnhb 靶場系列:Jarbas1.0

靶場鏡像

官網(wǎng)

信息收集

攻擊機kali IP地址

image

通過nmap 進行主機發(fā)現(xiàn),發(fā)現(xiàn)目標(biāo)機IP地址
nmap -sP 192.168.227.1/24
image

參數(shù)說明:
-sP (Ping掃描)
該選項告訴Nmap僅僅 進行ping掃描 (主機發(fā)現(xiàn)),然后打印出對掃描做出響應(yīng)的那些主機。 沒有進一步的測試 (如端口掃描或者操作系統(tǒng)探測)。 這比列表掃描更積極,常常用于 和列表掃描相同的目的。它可以得到些許目標(biāo)網(wǎng)絡(luò)的信息而不被特別注意到。 對于攻擊者來說,了解多少主機正在運行比列表掃描提供的一列IP和主機名往往更有價值。

確定下來目標(biāo)機的主機信息后,通過nmap 探測目標(biāo)機的服務(wù)信息及開放的端口信息
nmap -A 192.168.227.139

image

可以看到開放了web 服務(wù)80端口和8080端口,首先訪問一下80端口
image

沒有發(fā)現(xiàn)什么有用信息,進一步探測一下web 目錄,這里使用kali 下的dirb,指定類型為html文件
dirb http://192.168.227.139/ -X .html
image

發(fā)現(xiàn)兩個文件,訪問http://192.168.227.139/access.html
image

發(fā)現(xiàn)三組MD5加密的賬號密碼,解密之
image

嘗試用這三組賬號密碼登錄ssh和mysql,發(fā)現(xiàn)并不能登錄
image

訪問8080端口
image

嘗試登錄,發(fā)現(xiàn)第三組賬號密碼成功登錄
image

漏洞挖掘

我們發(fā)現(xiàn)8080端口開放的服務(wù),存在漏洞利用


image

參考文檔:
https://www.rapid7.com/db/modules/exploit/multi/http/jenkins_script_console

打開msfconsole,并使用漏洞exp

image

設(shè)置參數(shù)
image

輸入exploit,獲取到一個meterpreter
image

輸入shell,獲取到一個shell 會話
image

也可以通過python 建立會話
python -c 'import pty;pty.spawn("/bin/bash")';
image

嘗試通過find 發(fā)現(xiàn)flag 文件,發(fā)現(xiàn)權(quán)限太低,幾乎都沒法訪問
image

最后我們發(fā)現(xiàn)一個很有意思的腳本
image

image

這個腳本每隔5分鐘會清理一次http的訪問日志,更重要的是這個腳本的權(quán)限是777
image

提權(quán)

我們先在本地新建一個CleaningScript.sh ,用于給find 設(shè)置suid權(quán)限,可以像root用戶那樣啟動
chmod u+s /usr/bin/find

image

參考鏈接:
https://blog.csdn.net/wangjia55/article/details/80858415

通過meterpreter 上傳腳本到目標(biāo)機


image

等待5分鐘進入shell


image

發(fā)現(xiàn)find 具有了suid權(quán)限
image

這時我們就可以利用find 命令的exec 功能以root 權(quán)限執(zhí)行其他命令了


image

參考鏈接:
https://blog.csdn.net/hongrisl/article/details/83018536

最后我們就可以查找root 下是否有flag 文件了


image

并成功讀取flag文件


image

image

另一種提權(quán)方法

同樣先獲取到meterpreter 權(quán)限,本地新建腳本CleaningScript.sh ,用于給cp 設(shè)置suid 的權(quán)限
chmod u+s /usr/bin/cp

image

通過meterpreter上傳,然后在目標(biāo)機通過cat 查看/etc/passwd
image

把文件內(nèi)容復(fù)制下來,在本地新建passwd 粘貼內(nèi)容,并創(chuàng)建一個具有root 權(quán)限的新用戶
image.png

用戶密碼可以通過openssl 生成


image

通過meterpreter 上傳到目標(biāo)機/tmp 目錄下


image

通過咱們設(shè)置好的cp 命令覆蓋原先的/etc/passwd
image

su 切換到咱們創(chuàng)建的用戶,成功獲取到root 權(quán)限


image

另另一種提權(quán)方法

首先在本地通過msfvenom 生成一個反彈shell

image

在本地寫入CleaningScript.sh
image

通過meterpreter 上傳到目標(biāo)機
image

在kali 開啟監(jiān)聽
image

等待5分鐘后,獲取到一個root權(quán)限反彈shell
image

image

歡迎訪問阿威的博客 https://www.cnblogs.com/TWX521/ 專注技術(shù)與交流,stay hungry stay foolish
2.gif

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

友情鏈接更多精彩內(nèi)容