本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
大余安全
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 63 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/144
靶机难度:初级(4.0/10)
靶机发布日期:2018 年 11 月 11 日
靶机描述:
Although Jerry is one of the easier machines on Hack The Box, it is realistic as Apache Tomcat is often found exposed and configured with common or weak credentials.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.95.....
nmap 扫描发现 8080 端口开放着,并且正在运行 Apache Tomcat / Coyote JSP engine 1.1 的 http 服务....
可以看到,这就是一个正常的 Apache Tomcat 服务器页面...
尝试挖掘信息,发现 mannager app...
尝试使用默认密码不对,cancel 发现重定向到了另外页面...
在页面发现用户名密码...tomcat/s3cret...(这里由于保存了 cookie 导致无法返回重定向页面没法截图...)
然后利用账号密码登录...
往下翻看到,典型的文件上传漏洞.... 好吧,做过太多次了,根据 WAR file to deploy 直接上传 WAR 文件即可...
二、提权
方法 1:
直接暴力利用 MSF 提权...GO
生成 WAR 反向 shell...
获得反向外壳... 可以看到直接获得了 system 最高权限...
成功获得 flag... 这文件里面包含了 user 和 root.txt 文件...
这里还可以利用 jave 得 MSF 生成 shell,直接提权即可,不需要查看 jsp... 方法一样!
方法 2:
利用 CMD 脚本进行页面渗透...
git clone https://github.com/SecurityRiskAdvisors/cmd.jsp
添加反向地址...
将原有的 cmd.war 删除,生成新的 WAR,因地址更换了... 然后上传...
开启 80,成功链接本地得 shell 库...
可以看到成功获得了 shell... 执行命令即可获得 flag...
cmd /c dir \Users\Administrator\Desktop\flags
成功获得 flag... 执行 cmd /c type \Users\Administrator\Desktop\flags"2 for the price of 1.txt" 即可获得 root....
另外还有各种方法能提权... 例如 https://github.com/byt3bl33d3r/SILENTTRINITY/tree/legacy,搭建一个服务,链接靶机,然后提权...
这台靶机中规中矩,大家在学习的同时,一定要做好笔记,也是告诫我自己,加油!
由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
2021.6.9~2021.6.16 号开启收徒模式,实战教学,有想法的私聊!
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号