渗透实战靶机2wp

0x00 简介

1、测试环境

目标IP:10.xxxx

测试IP:192.168.139.128

测试环境:win10、kali等

测试时间:2021.7.22-2021.7.22

测试人员:ruanruan

2、测试过程

本次实战主要通过对收集到的端口、目录等信息进行持续整合分析,再对目标系统进行tomcat弱口令、ghostcat文件读取、struts2RCE、SMB无认证访问等尝试,获取到jan账号,再利用.ssh私钥爆破获取较高权限的kay账号,直接sudo提权就能获得root权限。

0x01 信息收集

扫描端口
在这里插入图片描述

0x01 初次尝试

对以下端口进行的尝试及判断:

  • 22:高版本ssh,弱口令爆破较难
  • 80:web,访问一下好像没什么功能,只有个dev提示
  • 139、445:版本号4.3.11,复现RCE漏洞失败。
  • 8009:幽灵猫漏洞,只能读取/WEB-INF/目录下的文件,意义不大
  • 8080:Tomcat,尝试弱口令,失败。

到这里就只剩下80和445还能再继续探索一下。==

0x02 继续收集信息

访问web首页,网站正在维护中
在这里插入图片描述

back,查看源码
在这里插入图片描述

提示dev,试了下/dev/,404,扫一下目录,得到/development/路径

在这里插入图片描述

访问该路径,下面有两个txt文件

内容如下:

在这里插入图片描述

在这里插入图片描述

根据两个文件的内容,目前可以得到以下三个信息:

  • 使用了struts2,版本为2.5.12,关键字rest。=>基本确定S2-052 REST插件 XStream远程代码执行漏洞。
  • smb已配置,samba服务已测试过RCE,失败。根据对话整体能猜到应该是文件共享问题,但是尝试的方法有点偏了,应该直接连接IP/用户名
  • /etc/shadow,J的账号是弱口令

0x03 再次尝试

1、S2-052

首先试着复现S2-052,但是在复现S2-052时路径不对导致复现失败,通用路径为/struts2-rest-showcase/,这台靶机的路径为/struts2-rest-showcase-2.5.12/。==

在这里插入图片描述

2、SMB文件共享

先是参考了一篇文章,得到了Anonymous用户,然后就跟着挂载文件。。失败

正确的利用smb文件共享服务的漏洞应该是直接连接查看,而不是什么挂载乱七八糟的。

这里获取到用户名为Anonymous,无密码认证直接回车

smbclient -N -L IP
smbclient //IP/用户名

在这里插入图片描述

查看staff.txt文件,得到两个用户名

在这里插入图片描述

0x04 思路一:把爆破jan账号作为入口

1、获得jan账号

利用/usr/share/wordlists/rocky.txt爆破jan的密码

hydra -l jan -P password.txt -vV -o ssh.log -e ns ip ssh

在这里插入图片描述

得到密码:armando

在这里插入图片描述

登录jan账号,进入kay目录可以看到.ssh文件

在这里插入图片描述

对比两个公钥,相同

在这里插入图片描述

查看私钥,已加密

在这里插入图片描述

这里利用ssh2john来爆破ssh私钥,默认在/usr/share/john/ssh2john.py

在这里插入图片描述

得到密码:beeswax

2、成功登录kay账号

直接登录ssh

在这里插入图片描述

登陆成功,查看pass.bak,得到一串字符。。其实是密码,利用它使用sudo命令。

3、利用sudo提权获取root权限

sudo -l ,这里all表示所有命令都以root权限执行

在这里插入图片描述

直接sudo su

在这里插入图片描述

0x05 思路二:利用struts2漏洞反弹shell

如果利用struts2漏洞,可以先上传一个.sh文件,再chmod加权限,最后利用bash命令执行。

这里直接创建一个shell.sh,写入反弹shell命令

在这里插入图片描述

再在struts2的poc中修改执行

在这里插入图片描述

物理机就能获取shell,得到tomcat9账号的权限,然后继续通过kay目录下的.ssh目录进行利用。

在这里插入图片描述

后面的步骤和前面一样,这里只是提供另一种思路。

0x06 总结

1、踩坑
  • struts2的漏洞路径为/struts2-rest-showcase-2.5.12/
  • 知道存在smb文件共享认证问题,但是登录命令有误
  • 在kay账号下读取的密码太长,以为需要再次解密/找密码
2、知识点
  • S2-052漏洞复现,获取shell思路
  • goastcat文件读取漏洞,限制:只能读取/WEB-INF/路径下的文件
  • smb文件共享认证问题,以及登录命令
    • smbclient -N -L IP
      smbclient //IP/用户名
  • .ssh私钥爆破,利用ssh2john文件
3、反思
  • 做得较好的地方
    • 相对于上一次实战测试,在做本次实战过程时思路会更加清晰、收集的信息有整合分析,存在漏洞的地方也基本能猜测出。
  • 需要继续努力的地方
    • 但是在漏洞利用和信息利用过程以及不是特别顺利,主要原因是对服务、漏洞原理不够熟悉,之后会多总结复现常见的服务漏洞和组件漏洞。次要原因是靶机的很多地方需要猜测,脑洞型,思维比较跳跃。
    • 之后的测试中,在开始时先尽量收集更多信息再尝试寻找突破点。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/187944.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于Quartz实现动态定时任务

生命无罪,健康万岁,我是laity。 我曾七次鄙视自己的灵魂: 第一次,当它本可进取时,却故作谦卑; 第二次,当它在空虚时,用爱欲来填充; 第三次,在困难和容易之…

Google Firebase PHP实现消息推送

获取key的方法: 登录谷歌开发者后台 https://console.firebase.google.com/?hlzh-cn function firebaseNotice($title,$body){$token_arr[token1,token2]; //用户的firebasetoken列表$notify_msg ["notification" > ["title" > $title…

第四节(2):修改WORD中表格数据的方案

《VBA信息获取与处理》教程(10178984)是我推出第六套教程,目前已经是第一版修订了。这套教程定位于最高级,是学完初级,中级后的教程。这部教程给大家讲解的内容有:跨应用程序信息获得、随机信息的利用、电子邮件的发送、VBA互联网…

【2023CANN训练营第二季】——Ascend C算子开发进阶—Ascend C Tiling计算

了解Tiling基本概念 在这一小节中接触到了一个新的概念,叫Tiling计算,指的是在Ascend C 算子开发过程中,矢量的算子流程分为3个基本任务:CopyIn,Compute,CopyOut。CopyIn任务负责将Global Memory上的输入T…

计算机毕业设计选题推荐-农产品销售微信小程序/安卓APP-项目实战

✨作者主页:IT研究室✨ 个人简介:曾从事计算机专业培训教学,擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Python…

【狂神说Java】Dubbo + Zookeeper

✅作者简介:CSDN内容合伙人、信息安全专业在校大学生🏆 🔥系列专栏 :狂神说Java 📃新人博主 :欢迎点赞收藏关注,会回访! 💬舞台再大,你不上台,永远…

基于VPLC711的曲面外观检测XYR运动控制解决方案

市场应用背景 随着消费升级,产品形态正在朝着多样性和精细化方向迅速发展。这导致了对于复杂曲面轨迹加工的需求,包括外观检测、打磨抛光和点胶工艺控制,要求更高的精密度。企业必须主动满足市场需求,不断改进工艺,以…

从零开始开发抖音小程序:与餐饮团购的完美融合

本文将探讨如何从零开始开发一个创新的抖音小程序,以其独特的特性与餐饮团购进行完美融合。 一、什么是抖音小程序? 抖音小程序为开发者提供了在用户观看视频时进行无缝体验的机会。通过借助抖音的庞大用户基础,开发者可以将自己的创意呈现给…

k8s二进制(ETCD的部署安装)

角色ip组件k8s-master192.168.11.169kube-apiserver,kube-controller-manager,kube-scheduler,etcdk8s-node1192.168.11.164kubelet,kube-proxy,docker,etcdk8s-node2192.168.11.166kubelet,kube-proxy,docker,etcd 1、为etcd签发证书 1、证书的下载(任意机器上执行都可以) …

利用Python代码提取shp中每个区域的图像

import geopandas as gpd import rasterio from rasterio.mask import mask import matplotlib.pyplot as plt import numpy as np# 载入shp文件 - 它只包含几何对象 shapefile_path rD:\Desktop\新建文件夹 (3)\01.shp shapes gpd.read_file(shapefile_path)# 打开图像 imag…

WebSocket魔法师:打造实时应用的无限可能

1、背景 在开发一些前端页面的时候,总是能接收到这样的需求:如何保持页面并实现自动更新数据呢?以往的常规做法,是前端使用定时轮询后端接口,获取响应后重新渲染前端页面,这种做法虽然能达到类似的效果&…

开源DB-GPT实现连接数据库详细步骤

官方文档:欢迎来到DB-GPT中文文档 — DB-GPT 👏👏 0.4.1 第一步:安装Minicoda https://docs.conda.io/en/latest/miniconda.html 第二步:安装Git Git - Downloading Package 第三步:安装embedding 模型到…

Python爬虫——入门爬取网页数据

目录 前言 一、Python爬虫入门 二、使用代理IP 三、反爬虫技术 1. 间隔时间 2. 随机UA 3. 使用Cookies 四、总结 前言 本文介绍Python爬虫入门教程,主要讲解如何使用Python爬取网页数据,包括基本的网页数据抓取、使用代理IP和反爬虫技术。 一、…

Javaweb之javascript的BOM对象的详细解析

1.5.2 BOM对象 接下来我们学习BOM对象,BOM的全称是Browser Object Model,翻译过来是浏览器对象模型。也就是JavaScript将浏览器的各个组成部分封装成了对象。我们要操作浏览器的部分功能,可以通过操作BOM对象的相关属性或者函数来完成。例如&#xff1a…

Cordova插件开发三:通过广播实现应用间跨进程通信

文章目录 1.最终效果预览2.数据发送3.插件接受数据4.JS页面中点击获取数据返回1.最终效果预览 场景说明:我们给自来水公司开发了一个h5应用,需要对接第三方厂家支持硬件设备以便于获取到高精度定位数据,之前几篇文件写过,我已经集成过南方测绘RTK和高精度定位模块的设备,厂…

百度智能云正式上线Python SDK版本并全面开源!

文章目录 1. SDK的优势2. 千帆SDK:快速落地LLM应用3. 如何快速上手千帆SDK3.1 SDK快速启动3.2 SDK进阶指引3.3 通过Langchain接入千帆SDK 4. 开源社区 百度智能云千帆大模型平台再次升级!在原有API基础上,百度智能云正式上线Python SDK&#…

Easyui DataGrid combobox联动下拉框内容

发票信息下拉框联动,更具不同的发票类型,显示不同的税率 专票 普票 下拉框选择事件 function onSelectType(rec){//选中值if (rec2){//普通发票对应税率pmsPlanList.pmsInvoiceTaxRatepmsPlanList.pmsInvoiceTaxRateT}else {//专用发票对应税率pmsPlan…

改进YOLOv8:结合ICCV2023|动态蛇形卷积,构建不规则目标识别网络

🔥🔥🔥 提升多尺度、不规则目标检测,创新提升 🔥🔥🔥 🔥🔥🔥 捕捉图像特征和处理复杂图像特征 🔥🔥🔥 👉👉👉: 本专栏包含大量的新设计的创新想法,包含详细的代码和说明,具备有效的创新组合,可以有效应用到改进创新当中 👉👉👉: �…

《算法通关村——透彻理解二叉树中序遍历的应用》

《算法通关村——透彻理解二叉树中序遍历的应用》 直接上题 108. 将有序数组转换为二叉搜索树 给你一个整数数组 nums ,其中元素已经按 升序 排列,请你将其转换为一棵 高度平衡 二叉搜索树。 高度平衡 二叉树是一棵满足「每个节点的左右两个子树的高…

屏幕提词软件Presentation Prompter mac中文版使用方法

Presentation Prompter for mac是一款屏幕提词器软件,它可以将您的Mac电脑快速变成提词器,支持编写或导入,可以在一个或多个屏幕上平滑地滚动,Presentation Prompter 下载是为适用于现场表演者,新闻广播员,…