前期準備：

靶機地址：https://www.vulnhub.com/entry/dripping-blues-1,744/

kali攻擊機ip：192.168.11.129
靶機地址：192.168.11.180

一、資訊收集

1.使用nmap對目標靶機進行掃描

發現開放了22、80和8080埠。

2.80埠

先訪問下80埠：

掃一下目錄：

沒發現什麼可利用資訊。

3.8080埠

訪問下8080埠：

掃一下目錄：

發現了不少東西，檢視一下：

/readme.txt

說在伺服器上留了個檔案，還有密碼。

/backup.zip

是個壓縮包，下載下來看一下：

但是需要密碼，那就爆破一下：

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip

pw == @administrator_hi5

解壓後檢視一下里面的檔案，在 tomcat-users.xml 檔案裡發現有使用者名稱和密碼：

但是 Tomcat 裡登入不了使用者：

二、漏洞攻擊

不過 msf 有個 Tomcat 上傳webshell的模組，有使用者名稱和密碼就可以使用：

設定使用者名稱密碼和目標靶機：

執行該模組：

輸入 shell 後就獲得了 Tomcat 使用者，檢視一下系統檔案：

發現 /home 目錄下有一些資訊：

note.txt 檔案裡說更改了 randy 對主目錄的許可權，不能進行刪除和新增。user.txt 文加下有一個flag：

因為 randy 下的檔案不能修改，一些關鍵檔案也無法檢視，而/home/jaye 資料夾裡的檔案沒有許可權檢視：

嘗試一下切換成 jaye 使用者，密碼還是用剛才發現的 Tomcat 密碼：

發現可以登入到 jaye 使用者，檢視一下 /etc/passwd 檔案：

發現可以用ssh登入，這樣看著有點不方便，ssh登入：

發現一些檔案，檢視一下，發現 Files 資料夾下有個 look 檔案：

是系統的look命令，look命令可以越權訪問（https://gtfobins.github.io/gtfobins/look/），

1. LFILE=file_to_read
2. ./look '' "$LFILE" (我在 FILES 目錄下)

把 /etc/shadow 檔案複製下來,，儲存到本地。/etc/passwd 檔案可以在msf控制檯獲取，也可以用上述方式獲取，使用 unshadow 命令生成需要破解的密碼：

unshadow passwd ushadow > pass.txt

用john破解一下：

爆破了好幾個小時，爆出來兩個使用者：

melehifokivai (jaye)
07051986randy (randy)

第一個是已知的，登入下第二個：

三、提權

檢視允許做什麼：

說可以執行 /usr/bin/python3.8 /home/randy/randombase64.py，檢視下該檔案：

發現會以 root 執行這個python指令碼，用了base64模組，檢視一下該檔案的許可權：

發現不能更改該檔案，但是他會用python程式執行，我們直接在python程式 base64 模組裡面寫入shell，先找到python中的base64指令碼：

發現 base64.py 有許可權，寫入shell，vim用不了，用的nano編輯器：

先寫入 os 模組，在寫入shell：

因為我改的是 python3.8 ，所以以 python3.8 執行 randombase64.py 指令碼：

獲得了root許可權，檢視flag：

完成。