hackthebox-Jerry(考点:tomcat安全/windows)

最新推荐文章于 2022-11-17 02:52:47 发布
最新推荐文章于 2022-11-17 02:52:47 发布
阅读量423 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45527786/article/details/105552325
版权
该博客详细记录了一次针对Jerry靶机的黑客挑战过程,主要涉及Tomcat服务器的安全漏洞利用。通过nmap扫描发现8080端口开放并运行着Tomcat,利用dirbuster找到manager登录页面,尝试默认密码成功登录。之后,博主上传了一个war包,获得了shell。然而,由于初始shell权限较低,博主开始尝试各种exe文件以提升权限,最终意外发现初始shell即为system权限,揭示了忽视权限检查的常见误区。
摘要由CSDN通过智能技术生成

nmap
在这里插入图片描述

就8080,扫描结果显示是tom猫

网上有很多方法,把tom猫按在地上摩擦。。。这个

先传统方法。进去,上传
dirbuster搜到manager登录页面

在这里插入图片描述
在这里插入图片描述
不知道密码,那么想法找密码,但是如果此时点了取消登录框cancel,密码就自动出来了。。。。。。。。
这是默认密码,如果靶机不难的话,这个弱口令会被继续运用。。就用这个密码就就行了。。靶机难的话,就不是这个密码了。。
在这里插入图片描述
或者kali自带的破解tom的字典,在这里
然后用这个小脚本自动跑

#!/usr/bin/env python
最低0.47元/天 解锁文章
冬萍子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hackthebox:Jerry Walkthrough(not use metasploit)
汗的博客
12-19 693
Jerry是一个Windows系统的Hackthebox靶机,主要和tomcat有关,本walkthrough未使用msf
0-get-started-jerry1912:GitHub Classroom创建的0-get-started-jerry1912
03-30
作业0:Github和Travis CI入门 这项作业将指导您完成克隆存储库,进行更改以及将更改作为请求请求提交的机制。 此工作流程可能需要习惯。 这是您尝试解决它的机会。 如果您无法正常工作,请立即开始上班时间。...
HackTheBox::Jerry
aya3t的博客
10-12 222
HackTheBox::Jerry
Hackthebox------Jerry
大方子
11-24 3048
hackthebox网站:https://www.hackthebox.eu   这次我们的靶机叫-Jerry IP:10.10.10.95   ====================================================================================== 1.先用nmap对 目标靶机进行扫描 nmap -sC -sV...
Hack the box靶机 Jerry
菜浪马废的博客
05-27 383
需要账户 ??????? 老子就点了个取消 你把密码都给我了? tomcat:s3cret 登录完还是这个 再找找其他的 /manage可以登录进来 可以上传文件 需要点一下我上传的shell 才能连接 查看有空格的文件名的时候 用“”把文件名括起来就可以查看了 白天不知道因为什么心烦 没怎么学习 随便翻了翻linux的缓冲区 还有一个htb上win的简单的题 还得努力啊 离着月薪三万还差得远呢 加油! ...
hack the box jerry靶机
zr1213159840的博客
04-14 940
打开靶机,扫一下看看有什么东西。能看到是存在一个8080端口,tomcat,apache等信息 nmap -sV -Pn -A 10.10.10.95 这个机器给了提示,说什么远程命令执行,什么文件上传之类的。我感觉使用msf或许可以。于是打开msf进去搜索了一下。能看到确实有上传相关的漏洞。 search apache tomcat 这下好了,直接利用就好了,哈哈哈哈。 首先配置远程主机为10.10.10.95,配置远程端口为8080,然后直接run!不出意外直接没用,非常尴尬。 接着看了一下漏
Android-OkHttp-Jerry:OkHttp实用程序
05-02
Jerry只是Android中OKHTTP的实用工具,它具有FLUENT APIS 。 从ok-http 3开始,square已更改了许多API,因此我仍在开发新版本的Jerry。 我待会儿给一个样品。 用法 这很简单! 我也在我的书房里给了一个枫糖。 ...
tom-and-jerry:好游戏
03-19
《汤姆和杰瑞:JavaScript游戏开发深度解析》 在当今的互联网世界中,JavaScript作为最流行的编程语言之一,广泛应用于网页动态效果、交互式应用,甚至是游戏开发。本篇文章将深入探讨基于JavaScript的“汤姆和杰瑞...
tom-n-jerry-game:添加了杰里和汤姆动画
03-22
例如,我们可以定义一个名为`tom-jerry-animate`的动画,通过改变对象的位置、大小或透明度等属性,来模拟角色的移动和互动。 ```css @keyframes tom-jerry-animate { 0% { transform: translateX(0); } 50% { ...
java开发oa系统源码下载-jerry:杰瑞
06-05
java开发oa系统源码下载 平台简介 一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适的。于是利用空闲休息时间开始自己写了一套后台系统。如此有了若依。她可以用于所有的Web应用程序,如网站管理...
[Hack The Box]靶机4 Jerry
Huamang的博客
03-29 514
首先用nmap进行端口扫描,看到只开启了8080端口,是Tomcat 给出的是默认界面 dirmap扫描了一下目录 去manager管理页面看看,他需要认证 他提示密码为s3cret,试了一下真是这个,倒省事了,不用我自己爆破 进tomcat的后台就好弄了哦,getshell方法多的是,这里写的挺多的,这里我选择直接用是msf打,方便点 use exploit/multi/http/tomcat_mgr_upload 直接打通 在Administrator的桌面发现flag cd C:.
【Hack The Boxwindows练习-- jerry
人间体佐菲的博客
10-31 209
【Hack The Boxwindows练习-- jerry
No.195-HackTheBox-windows-Remote-Walkthrough渗透学习
qq_34801745的博客
09-10 860
** HackTheBox-windows-Remote-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/234 靶机难度:初级(4.7/10) 靶机发布日期:2020年9月1日 靶机描述: Remote is an easy difficulty Windows machine that features an Umbraco CMS installation. Credentials are found in a w
你好,Jerry,我是 Tomcat
Java
03-07 1726
初识Tomcat
No.82-HackTheBox-windows-Hackback-Walkthrough渗透学习
qq_34801745的博客
04-02 1693
** HackTheBox-windows-Hackback-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/176 靶机难度:中级(5.0/10) 靶机发布日期:2019年5月29日 靶机描述: Querier is a medium difficulty Windows box which has an E...
No.78-HackTheBox-windows-Ethereal-Walkthrough渗透学习
qq_34801745的博客
03-26 529
** HackTheBox-windows-Ethereal-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/157 靶机难度:中级(无/10) 靶机发布日期:2019年2月30日 靶机描述: Ethereal is an “insane” difficulty machine, which showcases...
No.60-HackTheBox-windows-Jerry-Walkthrough渗透学习
qq_34801745的博客
02-25 323
** HackTheBox-windows-Jerry-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/144 靶机难度:初级(4.0/10) 靶机发布日期:2018年11月11日 靶机描述: Although Jerry is one of the easier machines on Hack The Bo...
【Hack The Boxwindows练习-- blue
人间体佐菲的博客
10-30 361
【Hack The Boxwindows练习-- blue
【Hack The Boxwindows练习-- Omni
人间体佐菲的博客
11-17 1181
【Hack The Boxwindows练习-- Omni
Python公司有四类人员: 经理、技术人员、 推销人员以及销售经理。 员工的共有属性有:姓名、级别、职工工号,月薪总额;新增的职工的工号,由公司现有的员工工号最大值加1得到:方法有promote(), 功能是改变员工的级别: 每种人员的月薪总额计算方法如下: 经理: 8000 元/月;技术人员: 100 元/小时: 推销人员: 4%提成:销售经理: 5000 元/月+5%提成。 请编写程序,创建各类人员对象,并输出对象的信息。
最新发布
05-25
Employee(name=Jerry, level=Technician, emp_id=1002, salary=8000) Employee(name=Mike, level=Salesman, emp_id=1003, salary=400.0) Employee(name=Lucy, level=SalesManager, emp_id=1004, salary=6000.0) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值