靶机下载地址:戳我

Goal: Get the root shell i.e.(root@localhost:~#) and then obtain flag under /root).

目标,获得root权限。

0x00 信息收集

这次开的端口很少,只有22和8080。

访问8080可知是Apache Tomcat/9.0.40。

0x01 获取权限

该版本高搜了一下没有可以利用的漏洞,也无弱口令。

默认字典未发现有价值的内容。遂加载外部字典扫描得到可疑路径:/struts2-showcase/

可确定该网站使用了Struts2框架。

使用Struts2-Scan检测工具对其检测,发现存在漏洞: S2-046,可惜的是这个工具不支持对该漏洞进行利用: (

掏出上古神器^^执行whoami命令可得当前用户的用户名为minhtuan。

当前目录下找到user.txt:

Try your best, you have passed the first challenge, and the last one is for you, root me!

0x02 提升权限

tomcat记录管理员登录口令的文件在/conf/tomcat-users.xml。

cat /usr/local/tomcat/conf/tomcat-users.xml

查看可得用户名为admin,密码为6mzf3>gfZ.pN8_Mp

成功进入后台,下一步我使用了冰蝎🐎上传了war包。

ls -a查看当前目录下的所有文件:

有火狐浏览器的记录:

上网查阅资料得知,火狐浏览器加密保存的密码在logins.json中(32.0 及以上)

对其内容进行解密,使用到的工具:戳我

将key4.db和logins.json放到firepwd的文件夹中后执行工具。

使用该密码可获取到root权限。sudo -S 指定从标准输入stdin读取密码: