vulnhub吧唧——CORROSION: 2

下载地址:https://download.vulnhub.com/corrosion/Corrosion2.ova

1.配置环境

c1c85b78b1ca4e2ca0978239cdc7e347.png

kali:NAT

吧唧:NAT

2.主机发现

1e7c889acce444bfb9392a65503685af.png

我们初步扫描发现吧唧的ip是192.168.139.144

585e371398aa4164af0a5310263c4274.png

 经过较为详细的扫描我们可以看出他开启了22ssh服务和80http服务同时8080端口也开启了http服务

3.访问服务

882538f9fb5b4b309b59b20b4d3f48c1.png

 经典,太经典了,我只能说,没关系,我们还有8080端口的http服务没有访问

bd6853bdb98b4e39a5fcc234c86892f7.png

 典中典……

b4c62fbb88ab4f59a96c1bdd5d6224a0.png

 不难看出这个吧唧的http服务都是非常的抽象,均为经典的apeach服务器

3e1f3bfb14404f6ca68438fa4d731738.png

 我们可以看到的是扫描80端口的http服务并没有什么特别的东西,挨个儿进行访问也没有发现什么特别有用的东西

ac2982e2594245608e5202e2e2e085e9.png

 不扫不知道,一扫吓一跳,太开心啦有这么多东西(0.o尊嘟假嘟.jpg),第一次扫描的时候有很大一堆紫色的都是404,也就意味着没有什么用,所以我在使用dirsearch的时候加上了-x参数屏蔽404响应码,好啦,接下来我们挨个儿进行访问

934318fbc5524a8488b2046443187ef3.png

 我这里选择先查看readme.txt,一来就感受到了制作吧唧的人的亲切的问候,更有动力了家人们,直接就是开始挖

f816fc713015459a858fd477e69cbed3.png

 我们把网站上是backup.zip进行下载后发现他有密码,无法进行解压

76775c9578574ef1bc30808eec8242e9.png

 现学现卖,我们直接使用fcrackzip命令爆破出backup.zip的密码

caf55a0458744a0eb9fbaf495e34ca40.png

 很好,我们已经成功解压出backup.zip的东西啦

350512e088c947b4a8a65c6fc4b64ae9.png

 后缀为xml的一般都是配置文件,我们查看这个文件夹内所有后缀为xml的文件,可以看到一个tomcat-users.xml的文件,这个文件是Tomcat的配置文件,我们查看后得到两组账号密码:manager:melehifokivai和admin:melehifokivai,那我们用于登录哪里呢?

507c3ee2d87b4c15bea1cc4fd4c112db.png

 在我们配置文件中我们可以看到这样一段注释,他叭叭这么一大堆的意思就是说manager用户登录/manager/html目录,当然我们这里有manager用户,但是怎么会有人不喜欢admin呢?举一反三那么admin用户登录的就是/admin/html么?漏漏漏,大漏特漏。在上文的配置中,配置admin的时候我们可以看见配置了roles="admin-gui,manager-gui",其意思是admin用户同时拥有这两个角色,也就意味着他可以登录到/host-manager/html和/manager/html这两个界面,srds,谁会不喜欢admin呢

6deac0aea0db4d81a7b37691b09eaf83.png

 但是admin好像不是很喜欢我们,不过没有关系,我们还有manager

79ca7211a3d343c3bb3ddfc76f508d79.png

 我们使用manager:melehifokivai成功登录了/manager/html,这里我们可以看到的是他开启了/host-manager/html的,洗碗儿了家人么,一不小心卸载了,让我进行一番沉淀

bb54d347c75a4c478f60bd9850446620.png

 活学活用,刚经过沉淀(可以参考我的另一个文章:《vulnhub吧唧——My Tomcat Host: 1》)知道了tomcat这里如果可以上传war包的话,我们就可以使用msfvenom来生成一个war类型的木马文件,然后本地使用msfconsole开启监听接受反弹的shell

bc1c9c3ddaf74594af7377636c3c9435.png

 他真的我真的

9261a81c7f1e4cdeb4ef12161ad2ead5.png

生成文件,上传文件都非常的一帆风顺,最后需要触发木马文件文件的时候告诉我文件被删掉了,看来是我沉淀的不够,我还得继续沉淀

be9062fa11f34545b81cc5ffa2a0a5b6.png

 经过一番沉淀我学习到了一个配合账号密码就可以getshell的模块,设置对应的参数,运行就可以拿到一个小小的shell

4.信息搜集

a0708c8496f74518914a5372794c22e9.png

 我体会到了出题人环环相扣缜密的心思,居然用manager和admin的密码登录jaye(然后我试了一下这他喵居然可以直接用jay:melehifokivai登录ssh???!!!万恶的出题人毁我青春)

9ab529af3c9b43c7b69d79d311c442dd.png

 我们用jaye切换到randy目录,怎么听怎么不对,但是我们就是登进来了,并找到了第一个flag

flag{ca73a018ae6908a7d0ea5d1c269ba4b6}

5.提权

f5b26c9c35fb43bc80b2df02eb82ff86.png

 这里我们尝试用find命令查找具有suid权限的文件,这里看到一个叫look的文件,正好kali有个同名的命令也叫look其意思是查找给定前缀的单词

c8ee6008b9124b55acf30e16575e693f.png

 总感觉他们两个可以干一些偷梁换柱狸猫换太子的事情,让我进行一番沉淀

d8a460f811ce45d7b88849df15266d62.png

026bc898-3944-4f48-b873-ced8272b1314

简而言之就是我们可以实现任意文件读取

71e979ca51554f48a1df09649e305b8f.png

 可以看见,我们直接看/etc/shadow是看不了一点儿的,但是我们用look看就可以看到啦,我们把randy的信息复制出来,randy:$6$bQ8rY/73PoUA4lFX$i/aKxdkuh5hF8D78k50BZ4eInDWklwQgmmpakv/gsuzTodngjB340R1wXQ8qWhY2cyMwi.61HJ36qXGvFHJGY/:18888:0:99999:7:::,不难看出我们的哈希值是$6$bQ8rY/73PoUA4lFX$i/aKxdkuh5hF8D78k50BZ4eInDWklwQgmmpakv/gsuzTodngjB340R1wXQ8qWhY2cyMwi.61HJ36qXGvFHJGY/,我们将他保存在hash.txt中,然后使用john进行爆破

ee3e42adbd3f47258df30016c5681829.png

 经过将近两个小时半的沉淀,我们终于得到了我们的密码randy:07051986randy 

9e4a0bf6d808400a89f227dca671c785.png

 我们直接就是登录randy,进行了一下基本的信息搜集,我们可以看见randy可以以root权限运行这个其家目录下randombase64.py

1f811c884b3e4e2a83a869c663fd5136.png

 而这个randombase64.py这个程序就是将输入的字符串进行base64编码

182283d4806f4a41b7cfdc1dcc0e9daf.png

 我们查看一下文件的权限发现我们并没有改写这个文件的权限,开始沉淀

b50fb8b26db849348edbe056b5a1b609.png

 经过一番沉淀,我得到了一个新的思路。虽然我们不能更改文件本来的内容来达到提升shell的目的,但是我们可以通过更改他使用了的模块base64其相应的文件来达到提升shell的目的

706007b2f72343ffac73cb12c67650ab.png

我们使用vi编辑器添加这些代码

69755b29bc9545f1ac6f75464b4f22cc.png

 然后我们直接就是sudo用Python运行这个代码,他会自己调用base64对应的库文件,然后就会触发我们的恶意代码,拿到root权限

44d3b3fac7204037962a3e58d211487d.png

 当然也是拿到了我们的flag

flag{2fdbf8d4f894292361d6c72c8e833a4b}

又一次经过一番沉淀后,我们不难发现刚刚在查找所有具有suid权限的文件时找到了一个/usr/lib/policykit-1/polkit-agent-helper-1,其实他是CVE-2021-4034漏洞,在github上有公开的脚本可以一把梭,吧唧上面没有make不方便我们编译项目,我们可以先在kali整好了

(kali设置代理:export http_proxy="windowsip:port"),然后在吧唧上wget下下来直接梭哈

91fea932e33f465c8a6d46dd96d24109.png

 还有一个更抽象的,前面提到look可以读取任意文件,那么也就是说他可以读取root,前提是猜对文件名

总结:这个吧唧主要的一些知识点就是爆破压缩包密码,根据tomcat的tomcat-users.xml文件获取账号密码,msfvenom构造jar文件反弹shell,信息搜集,look任意文件读取,john爆破密码,我觉得收货最多的就是,我学会了一个新的思路,在给定了root权限的具体命令时,更改其对应的配置文件,通过调用来达到触发恶意代码的效果

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值