Corrosion2 靶场渗透记录

本文是Corrosion2靶场渗透记录。先通过arp - scan扫端口确定攻击机和靶机IP,日常扫端口发现开放22、80、8080端口。接着开始渗透,利用tomcat登录漏洞、扫描目录获取账户密码,通过msf上传漏洞拿到shell。之后进行账户渗透,最后成功提权并获取到两把flag。

Corrosion2 靶场渗透记录

一、ip

arp-scan扫靶场端口

image-20221022152928260

1、攻击机:Kali ip:192.168.142.128

​ 靶机:Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0) ip:192.168.56.137

二、日常扫端口

image-20221022153015487

开放端口: 22/tcp ssh 、80 tcp、8080 tcp 挂载tomcat

三、开始渗透

1、80端口打开为apache 默认页

image-20221022153425743

2、8080端口为tomcat 主页,并且提供登录页面,可通过msf 搜索tomcat Login 漏洞

3、 22端口开放,浏览器无法访问,通过kali ssh 可远程登录

image-20221022153619224

4、msf搜索tomcat 登录漏洞

image-20221022162754337

找到tomcat login漏洞,尝试使用;show options 显示漏洞攻击前信息,修改目标IP

image-20221022162838501

image-20221022163034924

IP已设置,开始攻击

image-20221022164933180

Login漏洞全部失败

四、扫描目录

image-20221022173714498

简单dirb扫描没有出结果,用gobuster结合directory字典扫描 txt,zip,tar,php文件,扫出很多

有个readme.txt 和 backup.zip 名字比较显眼,先看readme.txt

image-20221022173920036

得到提示信息,译:嘿,兰迪!它是您的系统管理员。我在服务器上给你留了个文件,肯定没人能找到。记得用我给你的密码。

大概率是backup.zip这个文件,命名为后门~下载此文件

image-20221022174232982

image-20221022174249161

wget成功拿到文件,但是unzip 发现需要密码,尝试爆破压缩包密码

image-20221022174640802

密码成功爆破,为:@administrator_hi5,拿到密码解压backup.zip

image-20221022174821329

解压后一堆文件,但是懂web的话应该知道 tomcat用户文件在tomcat-users.xml中,cat tomcat-users.xml文件,拿到tomcat账户名密码

image-20221022174921796

得到用户名密码

username=“admin” password=“melehifokivai”

尝试登录tomcat,成功登录!可以拿站点!

五、tomcat msf 上传漏洞拿到shell

1、查看站点只有一个(tomcat 版本:Apache Tomcat/9.0.53 JVM版本:11.0.11+9-Ubuntu-0ubuntu2.20.04)

image-20221022175134911

2、进入站点

进入站点后,未发现有部署web站点,只有examples,进入未发现任何异常。现在已经成功登录tomcat,可使用msf上传漏洞来尝试攻入

image-20221027191441252

msf界面一直是可以的~

image-20221027191558813

上传漏洞有很多,Apache的只有3个,编号为0和2的带有upload,但是编号0位normal,先尝试2号漏洞执行

image-20221027191854986

设置好漏洞参数,启动测试

image-20221027192026171

攻击载荷成功执行,成功返回一个shell,先查看一番。

image-20221027192801997

可以看到home 目录下有两个账户jaye和randy,刚好对应到靶机的登录页面3个账户

image-20221027192900810

jaye目录进不去,权限不够,randy目录可以进去,看到note.txt,cat一下,发现提示:

Hey randy this is your system administrator, hope your having a great day! I just wanted to let you know
that I changed your permissions for your home directory. You won’t be able to remove or add files for now.

I will change these permissions later on.

See you next Monday randy!

译:Randy,这是你的系统账户,希望你有美好的一天!我只是想让你知道我改变了你的home目录的权限,你现在不能删除和增加文件了,我一会会改变权限,下周一见~

从提示可以看到,randy目录权限已经被修改,不能增加和删除文件

image-20221027193320567

user.txt中是第一把flag,虽然解密失败,旗子到手~

六、渗透账号

image-20221027194255567

su 切换jaye账号,用tomcat 的密码居然成功了~0.0

查看文件,很多目录权限不够,进不去,没有发现什么。randy账户切换失败~

image-20221027194823060

先把shell用python3脚本切换过来。貌似卡关了~

查看一下root权限可以执行的所有文件,看能否发现些什么~

find / -perm -u=s -type f 2>/dev/null

image-20221027195318248

发现root权限文件很多,敏感文件应该权限不足,有个/home/jaye/Files/look , 刚好映射到现在账号为jaye,可以查看一下。

image-20221027195509444look权限也不够~看是否可以执行?发现是个命令,百度一下用法。

image-20221027195739181

命令可以拿来查看文件,而且拥有SUID,可以拿来提权了,

尝试是否可以拿来查看靶机shadow 和 passwd敏感文件。

image-20221031015013315

image-20221031015549883

发现passwd和shadow文件都可以读取出来,root也能看到,那就拿到本地用john破解一下试试

image-20221031024216763

image-20221031024301574

unshadow合成了shadow和passwd文件为userpass.txt,用john来破解,因为速度太慢了~~~~机子太拉,攻略了下,跳过了,从大佬哪里直接拿了密码:07051986randy (randy)

七、提权

image-20221031024548504

账户切换成randy,查看一波文件

image-20221031024914698

看到有个python文件,没权限读写,cat了一下,看到里面导入base64,查找了一下base64这个库

image-20221031031403025

找到3.8python的base64库,查看了下权限。

image-20221031031520519

成功写入提权代码,下来尝试执行一下这个

image-20221031032003265

直接执行失败后,sudo python3.8 /home/randy/randombase64.py 成功执行,回显shell 为root ,提权成功

image-20221031032104472

root目录下发现root.txt ,为第二把旗,拔旗拔旗!!!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值