Vulnhub 靶场 CORROSION: 2
前期准备:
靶机地址:https://www.vulnhub.com/entry/corrosion-2,745/
kali攻击机ip:192.168.11.129
靶机地址:192.168.11.180
一、信息收集
1.使用nmap对目标靶机进行扫描
发现开放了22、80和8080端口。
2.80端口
先访问下80端口:
扫一下目录:
没发现什么可利用信息。
3.8080端口
访问下8080端口:
扫一下目录:
发现了不少东西,查看一下:
/readme.txt
说在服务器上留了个文件,还有密码。
/backup.zip
是个压缩包,下载下来看一下:
但是需要密码,那就爆破一下:
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip
pw == @administrator_hi5
解压后查看一下里面的文件,在 tomcat-users.xml 文件里发现有用户名和密码:
但是 Tomcat 里登录不了用户:
二、漏洞攻击
不过 msf 有个 Tomcat 上传webshell的模块,有用户名和密码就可以使用:
设置用户名密码和目标靶机:
运行该模块:
输入 shell 后就获得了 Tomcat 用户,查看一下系统文件:
发现 /home 目录下有一些信息:
note.txt 文件里说更改了 randy 对主目录的权限,不能进行删除和添加。user.txt 文加下有一个flag:
因为 randy 下的文件不能修改,一些关键文件也无法查看,而/home/jaye 文件夹里的文件没有权限查看:
尝试一下切换成 jaye 用户,密码还是用刚才发现的 Tomcat 密码:
发现可以登录到 jaye 用户,查看一下 /etc/passwd 文件:
发现可以用ssh登录,这样看着有点不方便,ssh登录:
发现一些文件,查看一下,发现 Files 文件夹下有个 look 文件:
是系统的look命令,look命令可以越权访问(https://gtfobins.github.io/gtfobins/look/),
- LFILE=file_to_read
- ./look '' "$LFILE" (我在 FILES 目录下)
把 /etc/shadow 文件复制下来,,保存到本地。/etc/passwd 文件可以在msf控制台获取,也可以用上述方式获取,使用 unshadow 命令生成需要破解的密码:
unshadow passwd ushadow > pass.txt
用john破解一下:
爆破了好几个小时,爆出来两个用户:
melehifokivai (jaye)
07051986randy (randy)
第一个是已知的,登录下第二个:
三、提权
查看允许做什么:
说可以运行 /usr/bin/python3.8 /home/randy/randombase64.py,查看下该文件:
发现会以 root 运行这个python脚本,用了base64模块,查看一下该文件的权限:
发现不能更改该文件,但是他会用python程序运行,我们直接在python程序 base64 模块里面写入shell,先找到python中的base64脚本:
发现 base64.py 有权限,写入shell,vim用不了,用的nano编辑器:
先写入 os 模块,在写入shell:
因为我改的是 python3.8 ,所以以 python3.8 运行 randombase64.py 脚本:
获得了root权限,查看flag:
完成。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步