Vulnhub 靶場 CORROSION: 2
前期準備:
靶機地址:https://www.vulnhub.com/entry/dripping-blues-1,744/
kali攻擊機ip:192.168.11.129
靶機地址:192.168.11.180
一、資訊收集
1.使用nmap對目標靶機進行掃描
發現開放了22、80和8080埠。
2.80埠
先訪問下80埠:
掃一下目錄:
沒發現什麼可利用資訊。
3.8080埠
訪問下8080埠:
掃一下目錄:
發現了不少東西,檢視一下:
/readme.txt
說在伺服器上留了個檔案,還有密碼。
/backup.zip
是個壓縮包,下載下來看一下:
但是需要密碼,那就爆破一下:
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip
pw == @administrator_hi5
解壓後檢視一下里面的檔案,在 tomcat-users.xml 檔案裡發現有使用者名稱和密碼:
但是 Tomcat 裡登入不了使用者:
二、漏洞攻擊
不過 msf 有個 Tomcat 上傳webshell的模組,有使用者名稱和密碼就可以使用:
設定使用者名稱密碼和目標靶機:
執行該模組:
輸入 shell 後就獲得了 Tomcat 使用者,檢視一下系統檔案:
發現 /home 目錄下有一些資訊:
note.txt 檔案裡說更改了 randy 對主目錄的許可權,不能進行刪除和新增。user.txt 文加下有一個flag:
因為 randy 下的檔案不能修改,一些關鍵檔案也無法檢視,而/home/jaye 資料夾裡的檔案沒有許可權檢視:
嘗試一下切換成 jaye 使用者,密碼還是用剛才發現的 Tomcat 密碼:
發現可以登入到 jaye 使用者,檢視一下 /etc/passwd 檔案:
發現可以用ssh登入,這樣看著有點不方便,ssh登入:
發現一些檔案,檢視一下,發現 Files 資料夾下有個 look 檔案:
是系統的look命令,look命令可以越權訪問(https://gtfobins.github.io/gtfobins/look/),
- LFILE=file_to_read
- ./look '' "$LFILE" (我在 FILES 目錄下)
把 /etc/shadow 檔案複製下來,,儲存到本地。/etc/passwd 檔案可以在msf控制檯獲取,也可以用上述方式獲取,使用 unshadow 命令生成需要破解的密碼:
unshadow passwd ushadow > pass.txt
用john破解一下:
爆破了好幾個小時,爆出來兩個使用者:
melehifokivai (jaye)
07051986randy (randy)
第一個是已知的,登入下第二個:
三、提權
檢視允許做什麼:
說可以執行 /usr/bin/python3.8 /home/randy/randombase64.py,檢視下該檔案:
發現會以 root 執行這個python指令碼,用了base64模組,檢視一下該檔案的許可權:
發現不能更改該檔案,但是他會用python程式執行,我們直接在python程式 base64 模組裡面寫入shell,先找到python中的base64指令碼:
發現 base64.py 有許可權,寫入shell,vim用不了,用的nano編輯器:
先寫入 os 模組,在寫入shell:
因為我改的是 python3.8 ,所以以 python3.8 執行 randombase64.py 指令碼:
獲得了root許可權,檢視flag:
完成。