信息搜集
端口服务探测
脚本全扫描探测
端口服务利用
smb:
使用enum4linux获取smb信息
可以得知服务器用户有:pleadformercy,qiu,thisisasuperduperlonguser,fluffy。
共享的文件夹如下
以qiu用户身份,使用smbclient对目标系统进行链接,但是不知道密码
web端
打开web页面,发现是tomcat默认页
目录爆破出login.html和robots.txt文件,其中login.html中并没有什么有用信息
robots.txt文件
打开子目录,并进行base64解码,我们可以知道有一个人使用password当作密码
我们尝试使用password登录到qiu的共享文件中
将内容全部下载下来,逐一查看
其中config包含了一个敲门服务
使用knock命令,对端口进行逐一敲门,打开对应端口
对80端口进行子目录探测
其中robots.txt
mercy文件中,包含一个index文件
其中nomercy如下图所示,是一个代码审计工具,我们可以尝试搜索一下0.53版本的漏洞,并加以利用
突破边界
存在系统漏洞,文件包含
尝试读取文件(在tomcat默认页中,我们知道用户定义在/etc/tomcat7/tomcat-users.xml)
读取后获得两个用户的密码(注意修改一下路径)
<user username="thisisasuperduperlonguser" password="heartbreakisinevitable" roles="admin-gui,manager-gui"/>
<user username="fluffy" password="freakishfluffybunny" roles="none"/>
我们可以得到admin-gui,manager-gui身份的用户名和密码,接下来的思路就清晰明了了,尝试在tomcat的manager页上传我们的反弹shell(这里我就不生成了,我已经生成过了)
生成一个反弹shell,并上传部署到服务器上
获取到初始shell
提权
使用pty模块完善一下shell
尝试翻看文件,只有thisisasuperduperlonguser用户可以正常登录
但其中内容大多都是废话
因为提权需要sudo权限,但我们是从网页获取到的shell,权限低且没有密码,之前获取到了两个用户的用户名和密码,切换用户到fluffy
查看fluffy有误sudo权限(并没有)
脚本提取
查看fluffy家目录下文件,我们可以发现一个定时脚本的东西(为什么是定时脚本,因为在/var/www/html下有一个time文件,其中的时间是更新的,因此怀疑是一个定时任务),我们向其中写入bash
echo 'cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash' >> timeclock
过一段时间,执行
/tmp/bash -p
获取root权限