JIS-CTF_VulnUpload靶機攻略是什么

本篇文章給大家分享的是有關JIS-CTF_VulnUpload靶機攻略是什么，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

vulnhub 是我喜愛的游樂場之一，上面的每個靶機都是很酷的一個游戲。完整找出所有 flag 只是基本任務，實現提權才是終極目標。我并不追求最快奪旗，而是盡可能運用完整攻擊鏈入侵靶機，所以，這篇攻略中，或許某些內容對奪旗無直接幫助，但在應對真實目標時，你應該考慮。

靶機 "JIS-CTF: VulnUpload" 含有 5 個 flag、初級難度，平均耗時 1.5 小時可完成攻擊。你可以從 https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/ 獲取 virtualbox 格式的鏡像，導入后立即可玩：

JIS 虛擬機為 DHCP，我得想法找出它的 IP。nmap 的 -sn 選項用于探測主機存活性：

很快，找到 4 個存活 IP。其中，56.1 為我主系統 IP，56.2 為 DHCP 服務器，56.5 顯示 localhost-response 為本機（kali），所以，JIS 的 IP 為 192.168.56.6。

一、系統服務發現

拿到 IP 第一要務當然是分析服務。nmap 的 -O、-sV 兩個命令行參數可用于此：

可知，JIS 在 22 端口開啟了 SSH（OpenSSH 7.2p2）、80 端口開啟 HTTP（Apache httpd 2.4.18）等兩個服務。另外，操作系統為 ubuntu。這三個信息將成為下個階段的主要攻擊面。

二、系統漏洞分析

針對 SSH 服務，我習慣從弱口令和系統漏洞兩方面進行攻擊。弱口令方面，我用常見用戶名和常見密碼進行暴破，雖然幾率不大：

短時間跑不完，先放這兒，后續再看。

SSH 服務的系統漏洞查找方面，我推薦 searchsploit 工具。精確搜索 OpenSSH 7.2p2：

存在用戶名可枚舉漏洞，剛好，要能找到有效用戶名，將有助于暴破 SSH 口令。立即用 EXP 試試：

試過幾次，結果都不一樣，感覺這個 EXP 不可靠。或許是搜索條件太苛刻，不帶版本號，直接搜索 openssh 看看有無其他漏洞：

其中，有兩個可考慮，依次為本地提權的漏洞、遠程命令執行漏洞。哇，很誘人，不過很遺憾，都用不了。對前者而言，當前沒用任何據點（如 webshell），還談不上提權操作，當前只能先放放，后續可能用的上；對后者來說，利用條件非常嚴苛，攻擊者必須拿到 forwarded agent-socket 的控制權，而且目標必須 SSH 登錄攻擊者所控制 forwarded agent-socket 的那臺機器，才可能讓目標加載指定 *.so，實現遠程命令執行。罷了，SSH 系統漏洞暫時就不深入了。

apache 服務看下有無可利用的漏洞：

先前服務探測時找到的準確版本為 apache httpd 2.4.18，那么只有一個漏洞內存泄漏的漏洞，沒多大價值。

這個階段系統漏洞只能分析到這個程度，雖然知道發行套件為 ubuntu，但不知道具體版本、系統架構，很難準確的找到可用的操作系統漏洞，所以，沒必要繼續在系統漏洞層面耗時，后續如果能拿到 webshell，提權時再來深入分析，現在移步 web 應用層面。

三、web 內容發現

訪問之前找到的 web 端口自動重定向到 http://192.168.56.6/login.php：

看了下 html 源碼，沒啥有價值的信息；枚舉用戶名也不能；或許可以暴破下弱口令，剛才的 SSH 暴破還沒完呢，web 登錄暴破還是先放一放，看看有無其他頁面。

大概 2015 年之前，掃 web 端口 – 找 web 后臺 – 弱口令登后臺 – 上傳一句話，是常見的高成功率的攻擊手法，其中，能否找到后臺地址，是成功的關鍵。換言之，我需要發現更多 web 內容。具體而言，我希望找到更多文件、頁面、子目錄，最好能找到源碼打包的敏感文件、后臺運維的管理頁面、存放業務邏輯的子目錄，以拓展攻擊面。通常，我習慣結合枚舉和爬蟲兩種方式來發現 web 內容。

枚舉 web 內容的工具很多，其實，你手上的 burp 內置了強大的子目錄枚舉功能，但常被你忽略。訪問 http://192.168.56.6/，讓流量過 burp 后，立即展示出初始站點目錄結構：

通過 engagement tools - discover content，啟用子目錄枚舉功能：

枚舉之前，借助 firefox 插件 wappalyzer 確認后端語言為 php：

簡單設置，讓 burp 只枚舉 php 類型的頁面，忽略 aspx、jsp 等等其他語言，以提高效率：

很快，枚舉出不少新頁面：

你看，比先前多了些頁面和目錄，如，logout.php、server-status/。逐一查看，沒啥有價值的內容。

接下來，我用另一個工具 dirsearch 再次枚舉子目錄，與 burp 互補，獲得更多 web 內容。高效和可配置是 dirsearch 的特色，同樣，用 --extension 選項設定只枚舉 php 類型的頁面，忽略 aspx、jsp 等等其他語言：

從輸出結果 out.txt 中查看 HTTP 應答成功（200）的頁面有 5 個：

依次訪問這幾個頁面且讓流量過 burp，站點目錄結構如下：

子目錄枚舉，大概就到這個程度，接下來，爬取站點。

爬站，還是借助 burp：

很快，爬取完畢，又新增不少頁面：

朋友，玩了這么久，連個 flag 的影子都沒看到？別急，這就來了。在 burp 的 site map 中搜索 flag 關鍵字，第一個匹配項是 http://192.168.56.6/admin_area/：

拿到第一個 flag{7412574125871236547895214}；另外還拿到一組賬號 admin/3v1l_H@ck3r，可能是 web 的登錄賬號、也可能是 SSH 的賬號，一會試試。搜索 flag 得到的第二個匹配項是 http://192.168.56.6/flag/：

得到第二個 flag{8734509128730458630012095}。

四、web 應用漏洞分析

用 admin/3v1l_H@ck3r 嘗試登錄 http://192.168.56.6/login.php：

成功，有個文件上傳功能，檢查下是否存在任意文件上傳漏洞。

隨便上傳一個 php 的 webshell 試試：

icesword.php 上傳成功，存在任意文件上傳漏洞，但沒回顯上傳目錄。還記得先前 web 內容發現時找到的 uploads/、uploaded_files/ 兩目錄么，嘗試訪問 http://192.168.56.6/uploads/icesword.php， 報錯，資源不存在，訪問 http://192.168.56.6/uploaded_files/icesword.php，沒報錯但頁面無內容，沒事，至少清楚上傳目錄是 uploaded_files/。

我用 msfvenom 生成 MSF 的 php 反彈木馬 msf_private.php：

啟動 MSF 并監聽，隨后訪問 http://192.168.56.6/uploaded_files/msf_private.php，立即獲得 meterpreter 會話：

簡單翻下文件：

flag.txt、hint.txt 引起我的注意。查看之，flag.txt 無訪問權限；hint.txt 中拿到第三個 flag{7645110034526579012345670}，以及一個提示信息，要想查看 flag.txt 先得找出賬號 technawi 的密碼：

接下來，我需要查找用戶 technawi 的密碼。我計劃從文件名和文件內容兩方面入手查找與 technawi 相關的信息。

我用 meterpreter 內置的 search 命令來查找文件名中含有關鍵字 technawi 的文件：

顯示未找到。奇怪，有 technawi 用戶，那肯定有 /home/technawi/，怎么會一個都找不到。進 shell 再確認下：

這才對嘛。所以，你看，meterpreter 內置的 search 不可靠。逐一查看，沒發現有價值的內容。

查找文件內容中含有關鍵字 technawi 的文件：

逐一查看，在 /etc/mysql/conf.d/credentials.txt 中找到第四個 flag{7845658974123568974185412}，以及一組賬號 technawi/3vilH@ksor：

五、登錄系統

用賬號 technawi/3vilH@ksor 成功登錄系統：

再次查看 flag.txt，拿到第五個 flag{5473215946785213456975249}：

六、提權

最開始我就說過，flag 并不是我玩靶機的唯一目標，提權也很有意思。剛要查看內核版本準備對應 exp 時，朦朧記得在 technawi 的 home/ 目錄中，看過 .sudo_as_admin_successful 文件：

哇，運氣不錯，這說明 technawi 可以用自己的密碼切換為 root 用戶：

就這樣，完成所有 flag 搜集、成功提權！

以上就是JIS-CTF_VulnUpload靶機攻略是什么，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。