VulnHub | Jangow 1.0.1
项目地址
http://www.vulnhub.com/entry/jangow-101,754/
难度:Easy
测试环境
攻击机:Parrot 192.168.56.104
目标靶机:Ubuntu 192.168.56.118
信息收集
开启目标靶机,登陆界面有其IP地址,不用自己手动扫描。但是还是要用nmap扫一下开启了什么端口。sudo nmap -sS -n -p- 192.168.56.118
,然后使用-sV
参数查看开放端口的详细信息。
打开网页发现里面有一个站点目录,打开后貌似是一个静态页面站点,在查看robots.txt
文件无果后使用dirb
工具进行目录遍历。
在遍历目录的过程中我尝试了一下有没有匿名登录,但是貌似并不行。
目录遍历并没有发现什么有用的信息,其中有一个wordpress目录,但是页面好像损坏了
那就只能在首页看看哪里能点点哪里了,其他都是一些描点或外部超链接,在尝试到Buscar
的时候我发现它是一个php文件,URL地址栏中有显示需要传参,并且页面是空白的,怀疑是文件包含之类的漏洞.
经过测试发现是一个命令执行漏洞,输入whoami
有回显信息。
漏洞利用
我本来是想直接反弹一个shell,但是尝试了几种方法都不行,然后我通过python在攻击机本地建立了一个简单的web服务,然后在目标靶机使用curl
命令访问我的网站,但是连接超时,在我的终端里也没有显示有访问请求,判断目标应该是设立了防火墙规则禁止出站流量,所以也就意味着只能在网站内执行命令
在查看文件的时候,我发现在上级目录下有一个隐藏文件,貌似是备份文件,打开是一个连接数据库的文件,但是目标也没开启3306,不过用户名是靶机名字,也许可以试试能不能登陆系统
权限提升
登陆机器,在当前用户家目录下发现一个user.txt
文件,解密后是一个空密码,暂时还不知道有什么用,因为是普通用户,没有权限进入root目录,考虑提权,SUID提权试了一下不成功,但是uname -a
看一下内核,内核版本是ubuntu4.4.0-31,可以使用脏牛本地提权.
Dirty Cow适用于内核版本>=2.6.22的Linux,并且低于以下版本。
Debian 7 3.2.82-1
Debian 8 3.16.36-1+deb8u2
Ubuntu 14.04 3.13.0-100.147
Ubuntu 16.04 4.4.0-45.66
Ubuntu 16.10 4.8.0-26.28
Cetnos6/RHEL6 2.6.32-642.6.2.el6
Centos7 /RHEL7 3.10.0-327.36.3.el7
因为目标有防火墙限制,所以只能通过ftp上传payload,在攻击机下载并编译好payload,用jangow01/abygurl69
登录ftp上传到家目录。
chmod +x cowroot
给cowroot添加执行权限,然后直接运行。执行完后查看权限是root。
最后去root目录下,有一个proof.txt
文件,应该就是这个靶机的Flag了。还有在提权的时候要注意,提完过一段时间就会大概率死机,可以试试其他payload。