vulnhub靶场Jangow: 1.0.1

闲得无聊，好久没做题了。去vulnhub发现21年好多没做过。找了个Jangow: 1.0.1做做，以此记录。

导入到Vbox里正常启动。

信息搜集

虽然启动后控制台已经有IP了，但是假装不知道，先fping扫一下这个网段。

发现128和132，，128是我本机kali的IP，所以应该是132（和控制台提示也一样）

再使用nmap详细扫描

等了一下就看到80和21开着，让它先扫着。先看看这两个端口。

首先看看80。

进来以后发现一个目录，点击进去长下面这样。

随便点点。

首页下面有个框

试了试也没啥入口

这还有一个超链接，

点了一下跑到 https://startbootstrap.com/theme/grayscale 了。

再点点

发现这里点完跳转到 http://192.168.110.132/site/busque.php?buscar=

http://192.168.110.132/site/busque.php?buscar=

这个URL有点意思，，后面加个ls试试 http://192.168.110.132/site/busque.php?buscar=ls。

好吧，这里应该就是这道题的入口了。

回头看一眼nmap，

啥，，只有一个21和80，，系统类型unix，为啥连个22都没有，有点不太正常。

不过web里已经有命令注入了，那就用命令注入重新搜集一些基本信息吧。

系统类型：NAME="Ubuntu" VERSION="16.04.1 LTS (Xenial Xerus)" ID=ubuntu ID_LIKE=debian PRETTY_NAME="Ubuntu 16.04.1 LTS" VERSION_ID="16.04" HOME_URL="http://www.ubuntu.com/" SUPPORT_URL="http://help.ubuntu.com/" BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/" UBUNTU_CODENAME=xenial

内核版本：Linux jangow01 4.4.0-31-generic #50-Ubuntu SMP Wed Jul 13 00:07:12 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

当前用户：www-data

本机用户：有一个普通用户jangow01和root有shell权限

本机监听的端口：

Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN - tcp6 0 0 :::80 ::😗 LISTEN - tcp6 0 0 :::21 ::😗 LISTEN - tcp6 0 0 :::22 ::😗 LISTEN - tcp6 0 0 192.168.110.132:80 192.168.110.1:4352 TIME_WAIT - tcp6 0 0 192.168.110.132:80 192.168.110.1:4336 TIME_WAIT - tcp6 0 0 192.168.110.132:80 192.168.110.1:4374 ESTABLISHED - tcp6 0 0 192.168.110.132:80 192.168.110.1:4363 TIME_WAIT - tcp6 0 0 192.168.110.132:80 192.168.110.1:4337 TIME_WAIT -

本机监听的端口，看到了0.0.0.0:22 ，有22呀，nmap为啥没扫到。

手动试试，80可以，22还是不行。

继续搜集信息

当前运行服务:

看到一个防火墙ufw，且还是enabled。22端口正在监听。但是无法通，八成是22端口被拦截了。生产中大概率是物理防火墙做的，但是这个虚拟机，，，大概率是自带的ufw防火墙。

其它能用的端口，也确实像nmap扫描的那样，也就21端口还通着。试了一把匿名登录。无法登录。

好像也就web能下手了。

再看看web的目录有啥值得的信息

本来就没几个文件，找到一个config.php

php无法直接在浏览器打开，也懒得用bp。。就改个后缀复制一个

看一眼有个用户名和密码,但是没有ssh。只有个ftp，，用ftp试了试，这个用户名密码无法登录。

确定方向，开始动手

根据搜集的系统信息，找个本地提权exp。先试试45010.c。。

因为暂时没有交互shell，，所以我们需要exp可以直接执行脚本文件，将main函数改为，mysh.sh是我们一会儿要自己写的东西。

先看看这个机器上有没有编译工具。如果有的话，就传上去以后在目标机上编译，也少报错。。如果没有的话，我们可能需要在本地编译后再传上去，环境不一样也可能报错。

好的，有gcc。下面就是想办法把这个exp的源文件搞上去。

根据现有的信息，目前只有一个web命令注入可以继续动手，其它的ftp只能是爆破。看来只能用web命令注入来提权了。先传个shell进去吧。

搞了个webshell准备传进去。

使用web启用一个web。

使用命令注入传进去

先用确认下有没有wget 或者curl，是有的。

然后准备传进去，可是一直在转圈圈。

我只好试试将错误输出到文件。结果是这样，，，根本不通。。换curl也是一样。

得，完了，对外连接好像禁止了。这个机器貌似禁止访问外网，只有80和21两个端口提供监听。反弹shell不能用了。这……写个一句话木马进去吧。

直接写个python去连接它，执行一下，可以用。

将exp文件使用base64编码，以便分割传输文件或转码错误。然后使用脚本或bp、http等工具发送post请求将这个东西上传。

上传成功后应该可以看到这个文件。简单和源文件对一下。对比没啥错。

然后使用base64 解码（linux服务器一般都会有base64命令，）

对比完EXP也没啥问题。

改个名字，然后编译。

OK，编译成功。

然后就是搞一个mysh.sh试试了。看看能不能获取到权限。

直接执行./exp.out,看到exp后的mysh.sh，是以root权限执行的。也就意味着我们只要修改mysh.sh，mysh.sh里的文件都是以root权限执行的。

网络不通的问题，看看是不是本机防火墙吧(但是现实生产中，可能是前端的安全设备做的策略，搞起来可能更费劲，这里只是个题，所以大概率是本机防火墙)。

呃，是防火墙！！！我当时看到这个的时候，是想要吐血的。简单说下这个防火墙的规则，，，允许外部访问本机的80 和21端口，，允许本机主动访问外部的TCP443端口，，这个如果当时反弹shell我的python HTTP使用443端口而不是8000，，wget 是可以下载webshell的。。。唉！！！！！！

所以可以直接用TCP443反弹shell。现在先不关防火墙，试试443端口。

先将webshell 中反弹的端口改成443。