Jangow 1.0.1

项目地址

http://www.vulnhub.com/entry/jangow-101,754/
难度:Easy

测试环境

攻击机:Parrot 192.168.56.104
目标靶机:Ubuntu 192.168.56.118

信息收集

开启目标靶机,登陆界面有其IP地址,不用自己手动扫描。但是还是要用nmap扫一下开启了什么端口。sudo nmap -sS -n -p- 192.168.56.118,然后使用-sV参数查看开放端口的详细信息。
0
1
打开网页发现里面有一个站点目录,打开后貌似是一个静态页面站点,在查看robots.txt文件无果后使用dirb工具进行目录遍历。
2
3
在遍历目录的过程中我尝试了一下有没有匿名登录,但是貌似并不行。
4
目录遍历并没有发现什么有用的信息,其中有一个wordpress目录,但是页面好像损坏了
5
那就只能在首页看看哪里能点点哪里了,其他都是一些描点或外部超链接,在尝试到Buscar的时候我发现它是一个php文件,URL地址栏中有显示需要传参,并且页面是空白的,怀疑是文件包含之类的漏洞.
6
经过测试发现是一个命令执行漏洞,输入whoami有回显信息。
7

漏洞利用

我本来是想直接反弹一个shell,但是尝试了几种方法都不行,然后我通过python在攻击机本地建立了一个简单的web服务,然后在目标靶机使用curl命令访问我的网站,但是连接超时,在我的终端里也没有显示有访问请求,判断目标应该是设立了防火墙规则禁止出站流量,所以也就意味着只能在网站内执行命令
8
在查看文件的时候,我发现在上级目录下有一个隐藏文件,貌似是备份文件,打开是一个连接数据库的文件,但是目标也没开启3306,不过用户名是靶机名字,也许可以试试能不能登陆系统
9
10

权限提升

登陆机器,在当前用户家目录下发现一个user.txt文件,解密后是一个空密码,暂时还不知道有什么用,因为是普通用户,没有权限进入root目录,考虑提权,SUID提权试了一下不成功,但是uname -a看一下内核,内核版本是ubuntu4.4.0-31,可以使用脏牛本地提权.
11
12
13
Dirty Cow适用于内核版本>=2.6.22的Linux,并且低于以下版本。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Debian 7          3.2.82-1

Debian 8          3.16.36-1+deb8u2

Ubuntu 14.04      3.13.0-100.147

Ubuntu 16.04      4.4.0-45.66

Ubuntu 16.10      4.8.0-26.28

Cetnos6/RHEL6     2.6.32-642.6.2.el6

Centos7 /RHEL7    3.10.0-327.36.3.el7

因为目标有防火墙限制,所以只能通过ftp上传payload,在攻击机下载并编译好payload,用jangow01/abygurl69登录ftp上传到家目录。
14
chmod +x cowroot给cowroot添加执行权限,然后直接运行。执行完后查看权限是root。
14
最后去root目录下,有一个proof.txt文件,应该就是这个靶机的Flag了。
16