01 扫描主机
nmap扫描主机
发现疑似目标主机,我们再用nmap进行详细扫描,开放了22、80、8080端口。8080是tomcat服务
02 获取权限
用浏览器访问80和8080端口
扫一下目录
发现8080端口是有东西的,有一个疑似管理员登录框的页面
我们用dirsearch再扫一下目录,发现有东西
发现一个backup.zip文件,下载下来,解压的时候发现要密码才能进行解压
我们看看剩下的目录,发现有个readme.txt文件。查看一下
尝试了randy、password等密码,发现都不对。我们尝试进行爆破,这里使用到一个爆破zip文件的工具:fcrackzip。
(注意:需要指定密码字典,这里用kali自带的字典)
用爆破出密码,进行解压
一一查看这些文件,发现“tomcat-users.xml”文件中有账号和密码,密码为
melehifokivai
尝试用密码登录http://192.168.10.148/manager/,登录成功
看到了熟悉的文件上传的地方。有两种方法进行拿shell,一种是文件上传,这里我们用另外一种msf进行拿shell
使用这个模块
配置好账号及密码、端口号、目的ip等参数(注意账号和密码要配置正确),run
拿到权限
which查看是否有python3环境,用python3返回一个正常的shell
python3 -c "import pty;pty.spawn('/bin/bash')"
进入home目录,拿到一个flag。
查看note.txt
好像没什么思路了,想到还开放了22端口,知道现在还存在jaye和randy两个用户。用之前tomcat的密码尝试登录。登录上去了jaye用户
进入home目录,查看flag,发现和之前的tomcat用户是一样的
进到 jaye 目录下,cd jaye,ls 看到有 Files 目录,进到 Files 目录,cd Files
03 提权
发现有个 look 程序,可以查看系统内文件内容,直接查看密码文件,
./look '' /etc/shadow
将密码保存到join文件上,尝试进行爆破
john -w=/usr/share/wordlists/rockyou.txt password.john
这里爆破了很久都没出结果,想到这里是Linux主机,我们用CVE-2021-4034进行提权,先下载一个CVE-2021-4034.py文件,用vi模式创建到目标主机上
执行脚本后,拿到root的权限
进入root目录,拿到最终的flag
结束!
原文始发于微信公众号(GSDK安全团队):Vulhub靶场 -- Corrosion2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论