Vulnhub 靶场 CORROSION: 2

前期准备:

靶机地址:https://www.vulnhub.com/entry/corrosion-2,745/

kali攻击机ip:192.168.11.129
靶机地址:192.168.11.180

一、信息收集

1.使用nmap对目标靶机进行扫描

image

发现开放了22、80和8080端口。

2.80端口

先访问下80端口:

image

扫一下目录:

image

没发现什么可利用信息。

3.8080端口

访问下8080端口:

image

扫一下目录:

image

发现了不少东西,查看一下:

/readme.txt

image

说在服务器上留了个文件,还有密码。

/backup.zip

image

是个压缩包,下载下来看一下:

image

但是需要密码,那就爆破一下:

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip

image

pw == @administrator_hi5

解压后查看一下里面的文件,在 tomcat-users.xml 文件里发现有用户名和密码:

image

但是 Tomcat 里登录不了用户:

image

二、漏洞攻击

不过 msf 有个 Tomcat 上传webshell的模块,有用户名和密码就可以使用:

image

image

设置用户名密码和目标靶机:

image

运行该模块:

image

输入 shell 后就获得了 Tomcat 用户,查看一下系统文件:

发现 /home 目录下有一些信息:

image

note.txt 文件里说更改了 randy 对主目录的权限,不能进行删除和添加。user.txt 文加下有一个flag:

image

因为 randy 下的文件不能修改,一些关键文件也无法查看,而/home/jaye 文件夹里的文件没有权限查看:

image

尝试一下切换成 jaye 用户,密码还是用刚才发现的 Tomcat 密码:

image

发现可以登录到 jaye 用户,查看一下 /etc/passwd 文件:

image

发现可以用ssh登录,这样看着有点不方便,ssh登录:

image

发现一些文件,查看一下,发现 Files 文件夹下有个 look 文件:

image

是系统的look命令,look命令可以越权访问(https://gtfobins.github.io/gtfobins/look/),

  1. LFILE=file_to_read
  2. ./look '' "$LFILE" (我在 FILES 目录下)

image

把 /etc/shadow 文件复制下来,,保存到本地。/etc/passwd 文件可以在msf控制台获取,也可以用上述方式获取,使用 unshadow 命令生成需要破解的密码:

unshadow passwd ushadow > pass.txt

用john破解一下:

image

爆破了好几个小时,爆出来两个用户:

melehifokivai (jaye)
07051986randy (randy)

第一个是已知的,登录下第二个:

image

三、提权

查看允许做什么:

image

说可以运行 /usr/bin/python3.8 /home/randy/randombase64.py,查看下该文件:

image

发现会以 root 运行这个python脚本,用了base64模块,查看一下该文件的权限:

image

发现不能更改该文件,但是他会用python程序运行,我们直接在python程序 base64 模块里面写入shell,先找到python中的base64脚本:

image

发现 base64.py 有权限,写入shell,vim用不了,用的nano编辑器:

image

先写入 os 模块,在写入shell:

image

因为我改的是 python3.8 ,所以以 python3.8 运行 randombase64.py 脚本:

image

获得了root权限,查看flag:

image

完成。

posted @ 2021-12-10 14:20  sainet  阅读(1042)  评论(4编辑  收藏  举报