Vulnhb 靶場系列：Jarbas1.0

靶場鏡像

官網

信息收集

攻擊機kali IP地址

經過nmap 進行主機發現，發現目標機IP地址
nmap -sP 192.168.227.1/24

參數說明：
-sP (Ping掃描)
該選項告訴Nmap僅僅 進行ping掃描 (主機發現)，而後打印出對掃描作出響應的那些主機。 沒有進一步的測試 (如端口掃描或者操做系統探測)。 這比列表掃描更積極，經常用於 和列表掃描相同的目的。它能夠獲得些許目標網絡的信息而不被特別注意到。 對於攻擊者來講，瞭解多少主機正在運行比列表掃描提供的一列IP和主機名每每更有價值。

肯定下來目標機的主機信息後，經過nmap 探測目標機的服務信息及開放的端口信息
nmap -A 192.168.227.139

能夠看到開放了web 服務80端口和8080端口，首先訪問一下80端口

沒有發現什麼有用信息，進一步探測一下web 目錄，這裏使用kali 下的dirb，指定類型爲html文件
dirb http://192.168.227.139/ -X .html

發現兩個文件，訪問http://192.168.227.139/access.html

發現三組MD5加密的帳號密碼，解密之

嘗試用這三組帳號密碼登陸ssh和mysql，發現並不能登陸

訪問8080端口

嘗試登陸，發現第三組帳號密碼成功登陸

漏洞挖掘

咱們發現8080端口開放的服務，存在漏洞利用

參考文檔：
https://www.rapid7.com/db/modules/exploit/multi/http/jenkins_script_console

打開msfconsole，並使用漏洞exp

設置參數

輸入exploit，獲取到一個meterpreter

輸入shell，獲取到一個shell 會話

也能夠經過python 創建會話
python -c 'import pty;pty.spawn("/bin/bash")';

嘗試經過find 發現flag 文件，發現權限過低，幾乎都無法訪問

最後咱們發現一個頗有意思的腳本


這個腳本每隔5分鐘會清理一次http的訪問日誌，更重要的是這個腳本的權限是777

提權

咱們先在本地新建一個CleaningScript.sh ，用於給find 設置suid權限，能夠像root用戶那樣啓動
chmod u+s /usr/bin/find

參考連接：
https://blog.csdn.net/wangjia55/article/details/80858415

經過meterpreter 上傳腳本到目標機

等待5分鐘進入shell

發現find 具備了suid權限

這時咱們就能夠利用find 命令的exec 功能以root 權限執行其餘命令了

參考連接：
https://blog.csdn.net/hongrisl/article/details/83018536

最後咱們就能夠查找root 下是否有flag 文件了

併成功讀取flag文件

另外一種提權方法

一樣先獲取到meterpreter 權限，本地新建腳本CleaningScript.sh ，用於給cp 設置suid 的權限
chmod u+s /usr/bin/cp

經過meterpreter上傳，而後在目標機經過cat 查看/etc/passwd

把文件內容複製下來，在本地新建passwd 粘貼內容，並建立一個具備root 權限的新用戶

用戶密碼能夠經過openssl 生成

經過meterpreter 上傳到目標機/tmp 目錄下

經過我們設置好的cp 命令覆蓋原先的/etc/passwd

su 切換到我們建立的用戶，成功獲取到root 權限

另另外一種提權方法

首先在本地經過msfvenom 生成一個反彈shell

在本地寫入CleaningScript.sh

經過meterpreter 上傳到目標機

在kali 開啓監聽

等待5分鐘後，獲取到一個root權限反彈shell