Thompson
boot2root machine for FIT and bsides guatemala CTF
目录
0x01 Nmap信息收集
使用Nmap队目标机器进行端口服务探测扫描
0x02 漏洞利用
根据Nmap扫描结果分析,突破口应该在8080Tomcat上
根据版本分析有个CVE-2020-1938但作用不大,读取不到有用的信息。
Tomcat如果能拿到账和密码,登录后台便能通过上传GetShell。
手工尝试一下弱口令账号一般为tomcat,尝试密码tomcat,password。。。
在尝试登录失败后关闭登录窗口时出现了401页面,账号密码也出现在401页面中。
0x03 GETshell
获得账号密码后,直接用该账号密码getshell,利用msf模块multi/http/tomcat_mrg_upload
填写好账号密码,ip端口后直接run
获得meterpreter的shell
接下来就是提权了。
先看一下user jack的flag
0x04 ROOT
查看jack家目录的全部文件,这里有个id.sh非常可疑,查看内容显示为把id信息重定向到test.txt中。
但是查看test.txt时id居然为0是root权限调用的
那应该存在定时任务之类的,查看/etc/crontab 发现果然是这样。
直接把反弹shell命令写到id.sh中
攻击机起监听,稍等一会就弹回root的shell