Corrosion2 靶场渗透记录
一、ip
arp-scan扫靶场端口

1、攻击机:Kali ip:192.168.142.128
靶机:Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0) ip:192.168.56.137
二、日常扫端口

开放端口: 22/tcp ssh 、80 tcp、8080 tcp 挂载tomcat
三、开始渗透
1、80端口打开为apache 默认页

2、8080端口为tomcat 主页,并且提供登录页面,可通过msf 搜索tomcat Login 漏洞

3、 22端口开放,浏览器无法访问,通过kali ssh 可远程登录

4、msf搜索tomcat 登录漏洞

找到tomcat login漏洞,尝试使用;show options 显示漏洞攻击前信息,修改目标IP


IP已设置,开始攻击

Login漏洞全部失败
四、扫描目录

简单dirb扫描没有出结果,用gobuster结合directory字典扫描 txt,zip,tar,php文件,扫出很多
有个readme.txt 和 backup.zip 名字比较显眼,先看readme.txt

得到提示信息,译:嘿,兰迪!它是您的系统管理员。我在服务器上给你留了个文件,肯定没人能找到。记得用我给你的密码。
大概率是backup.zip这个文件,命名为后门~下载此文件


wget成功拿到文件,但是unzip 发现需要密码,尝试爆破压缩包密码

密码成功爆破,为:@administrator_hi5,拿到密码解压backup.zip

解压后一堆文件,但是懂web的话应该知道 tomcat用户文件在tomcat-users.xml中,cat tomcat-users.xml文件,拿到tomcat账户名密码

得到用户名密码
username=“admin” password=“melehifokivai”
尝试登录tomcat,成功登录!可以拿站点!
五、tomcat msf 上传漏洞拿到shell
1、查看站点只有一个(tomcat 版本:Apache Tomcat/9.0.53 JVM版本:11.0.11+9-Ubuntu-0ubuntu2.20.04)

2、进入站点
进入站点后,未发现有部署web站点,只有examples,进入未发现任何异常。现在已经成功登录tomcat,可使用msf上传漏洞来尝试攻入

msf界面一直是可以的~

上传漏洞有很多,Apache的只有3个,编号为0和2的带有upload,但是编号0位normal,先尝试2号漏洞执行

设置好漏洞参数,启动测试

攻击载荷成功执行,成功返回一个shell,先查看一番。

可以看到home 目录下有两个账户jaye和randy,刚好对应到靶机的登录页面3个账户

jaye目录进不去,权限不够,randy目录可以进去,看到note.txt,cat一下,发现提示:
Hey randy this is your system administrator, hope your having a great day! I just wanted to let you know
that I changed your permissions for your home directory. You won’t be able to remove or add files for now.
I will change these permissions later on.
See you next Monday randy!
译:Randy,这是你的系统账户,希望你有美好的一天!我只是想让你知道我改变了你的home目录的权限,你现在不能删除和增加文件了,我一会会改变权限,下周一见~
从提示可以看到,randy目录权限已经被修改,不能增加和删除文件

user.txt中是第一把flag,虽然解密失败,旗子到手~
六、渗透账号

su 切换jaye账号,用tomcat 的密码居然成功了~0.0
查看文件,很多目录权限不够,进不去,没有发现什么。randy账户切换失败~

先把shell用python3脚本切换过来。貌似卡关了~
查看一下root权限可以执行的所有文件,看能否发现些什么~
find / -perm -u=s -type f 2>/dev/null

发现root权限文件很多,敏感文件应该权限不足,有个/home/jaye/Files/look , 刚好映射到现在账号为jaye,可以查看一下。
look权限也不够~看是否可以执行?发现是个命令,百度一下用法。

命令可以拿来查看文件,而且拥有SUID,可以拿来提权了,
尝试是否可以拿来查看靶机shadow 和 passwd敏感文件。


发现passwd和shadow文件都可以读取出来,root也能看到,那就拿到本地用john破解一下试试


unshadow合成了shadow和passwd文件为userpass.txt,用john来破解,因为速度太慢了~~~~机子太拉,攻略了下,跳过了,从大佬哪里直接拿了密码:07051986randy (randy)
七、提权

账户切换成randy,查看一波文件

看到有个python文件,没权限读写,cat了一下,看到里面导入base64,查找了一下base64这个库

找到3.8python的base64库,查看了下权限。

成功写入提权代码,下来尝试执行一下这个

直接执行失败后,sudo python3.8 /home/randy/randombase64.py 成功执行,回显shell 为root ,提权成功

root目录下发现root.txt ,为第二把旗,拔旗拔旗!!!
本文是Corrosion2靶场渗透记录。先通过arp - scan扫端口确定攻击机和靶机IP,日常扫端口发现开放22、80、8080端口。接着开始渗透,利用tomcat登录漏洞、扫描目录获取账户密码,通过msf上传漏洞拿到shell。之后进行账户渗透,最后成功提权并获取到两把flag。
871

被折叠的 条评论
为什么被折叠?



