渗透实战靶机2wp

0x00 简介

1、测试环境

目标IP：10.xxxx

测试IP：192.168.139.128

测试环境：win10、kali等

测试时间：2021.7.22-2021.7.22

测试人员：ruanruan

2、测试过程

本次实战主要通过对收集到的端口、目录等信息进行持续整合分析，再对目标系统进行tomcat弱口令、ghostcat文件读取、struts2RCE、SMB无认证访问等尝试，获取到jan账号，再利用.ssh私钥爆破获取较高权限的kay账号，直接sudo提权就能获得root权限。

0x01 信息收集

扫描端口

0x01 初次尝试

对以下端口进行的尝试及判断：

• 22：高版本ssh，弱口令爆破较难
• 80：web，访问一下好像没什么功能，只有个dev提示
• 139、445：版本号4.3.11，复现RCE漏洞失败。
• 8009：幽灵猫漏洞，只能读取/WEB-INF/目录下的文件，意义不大
• 8080：Tomcat，尝试弱口令，失败。

到这里就只剩下80和445还能再继续探索一下。==

0x02 继续收集信息

访问web首页，网站正在维护中

back，查看源码

提示dev，试了下/dev/，404，扫一下目录，得到/development/路径

访问该路径，下面有两个txt文件

内容如下：

根据两个文件的内容，目前可以得到以下三个信息：

• 使用了struts2，版本为2.5.12，关键字rest。=>基本确定S2-052 REST插件 XStream远程代码执行漏洞。
• smb已配置，samba服务已测试过RCE，失败。根据对话整体能猜到应该是文件共享问题，但是尝试的方法有点偏了，应该直接连接IP/用户名
• /etc/shadow，J的账号是弱口令

0x03 再次尝试

1、S2-052

首先试着复现S2-052，但是在复现S2-052时路径不对导致复现失败，通用路径为/struts2-rest-showcase/，这台靶机的路径为/struts2-rest-showcase-2.5.12/。==

2、SMB文件共享

先是参考了一篇文章，得到了Anonymous用户，然后就跟着挂载文件。。失败

正确的利用smb文件共享服务的漏洞应该是直接连接查看，而不是什么挂载乱七八糟的。

这里获取到用户名为Anonymous，无密码认证直接回车

smbclient -N -L IP
smbclient //IP/用户名

查看staff.txt文件，得到两个用户名

0x04 思路一：把爆破jan账号作为入口

1、获得jan账号

利用/usr/share/wordlists/rocky.txt爆破jan的密码

hydra -l jan -P password.txt -vV -o ssh.log -e ns ip ssh

得到密码：armando

登录jan账号，进入kay目录可以看到.ssh文件

对比两个公钥，相同

查看私钥，已加密

这里利用ssh2john来爆破ssh私钥，默认在/usr/share/john/ssh2john.py

得到密码：beeswax

2、成功登录kay账号

直接登录ssh

登陆成功，查看pass.bak，得到一串字符。。其实是密码，利用它使用sudo命令。

3、利用sudo提权获取root权限

sudo -l ，这里all表示所有命令都以root权限执行

直接sudo su

0x05 思路二：利用struts2漏洞反弹shell

如果利用struts2漏洞，可以先上传一个.sh文件，再chmod加权限，最后利用bash命令执行。

这里直接创建一个shell.sh，写入反弹shell命令

再在struts2的poc中修改执行

物理机就能获取shell，得到tomcat9账号的权限，然后继续通过kay目录下的.ssh目录进行利用。

后面的步骤和前面一样，这里只是提供另一种思路。

0x06 总结

1、踩坑

• struts2的漏洞路径为/struts2-rest-showcase-2.5.12/
• 知道存在smb文件共享认证问题，但是登录命令有误
• 在kay账号下读取的密码太长，以为需要再次解密/找密码

2、知识点

• S2-052漏洞复现，获取shell思路
• goastcat文件读取漏洞，限制：只能读取/WEB-INF/路径下的文件
• smb文件共享认证问题，以及登录命令
  • smbclient -N -L IP
    smbclient //IP/用户名
• .ssh私钥爆破，利用ssh2john文件

3、反思

• 做得较好的地方
  • 相对于上一次实战测试，在做本次实战过程时思路会更加清晰、收集的信息有整合分析，存在漏洞的地方也基本能猜测出。
• 需要继续努力的地方
  • 但是在漏洞利用和信息利用过程以及不是特别顺利，主要原因是对服务、漏洞原理不够熟悉，之后会多总结复现常见的服务漏洞和组件漏洞。次要原因是靶机的很多地方需要猜测，脑洞型，思维比较跳跃。
  • 之后的测试中，在开始时先尽量收集更多信息再尝试寻找突破点。