前言
今天的靶机依然是HTB(Hack The Box)的靶机-- Jerry,这个是打的第二台windows靶机,还是找个easy的靶机熟悉下windows打靶的思路。
开干:
1、环境准备
-
HTB的靶机
选择HTB的Jerry靶机,下载HTB的VPN。
-
Kali
将HTB的vpn文件put到kali中,使用命令 openvpn + ovpn文件路径 命令开启vpn连接。连接成功会在HTB网页右上角显示CONNECTIONS
2、扫描开放端口
使用nmap命令扫描开放端口:
开放了一个8080端口。
3、寻找漏洞尝试利用
访问8080端口:
可以看到是一个Tomcat的服务,Tomcat的版本为7.0.88。
去exploit-db.com搜索下这个版本的Tomcat是否有漏洞:
一眼看过去符合版本的就是最下面两个,JSP Upload Bypass,先选择最后一个,查看利用方式:
尝试上传一个jsp:
上传失败了,继续尝试另一个EXP,查看利用方式:
将Exp保存到本地,尝试运行:
还是没有利用成功,可能这个子版本的Tomcat组件没有该漏洞,继续google tomcat 7.0.88版本有没有漏洞:
可以看到一个爆破登陆,可以上传反弹shell的漏洞,点进去查看详情:
枚举 Apache Tomcat/7.0.88,暴力登录并上传 webshell。Tomcat 可利用的路径是 /manager/html,在该路径下可以上传和部署 war 文件(执行代码)。但该路径受基本 TTP 身份验证保护,列出了一些常用的登录账号及密码。
先尝试用MSF反弹shell
选择 auxiliary/scanner/http/tomcat_mgr_login
得到了用户名tomcat的密码为s3cret
现在有了凭证,我们就可以使用 "exploit/multi/http/tomcat_mgr_upload "来反弹shell
这样就拿到了shell,因为这个账户是管理员账户,所以直接就拿到了root权限。
获取Flag:
因为OSCP是限制MSF使用次数的,所以下面就采用另一种利用方式。
当点击Manager App 的Button时,跳转登录页面:
使用Hydra工具对账户密码进行爆破
爆破到2个,admin/admin,tomcat/s3cret 只有第二个能登陆成功。
其实这个登录接口,随便输入账户名,密码(或者点取消),只要不对就会出现一个报错页面,里面直接暴露的账户名和密码:
登录进去,发现一个文件上传入口:
因为只能上传war文件,查找下如何构造一个反弹shell的war文件:
使用msfvenom构造反弹shell的war文件:
上传这个 reverse.war,kali开启443端口监听,访问这个reverse.war文件就能反弹shell了,拿到的shell也是有root权限的。
4、总结
这次的windows靶机,通过一个密码爆破就直接拿到了管理员的账户密码,一步到位拿到了具有root权限的shell,体验下来还是非常简单的。先积累一波windows打靶的经验,然后再尝试难度较高的靶机吧。
原文始发于微信公众号(从黑客到保安):跟着大佬学渗透之进阶篇08
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论