0%

TryHackMe-tomghost

靶机链接:tonghost

靶机难度:简单

nmap扫描之后会发现目标主机只打开了tomcat端口,尝试能不能使用弱密码登录
nmap

fail
宣告失败desu.

看能不能找到这个版本的tomcat的漏洞,看我们找到了什么
CVE-2020-1938
搜索这个cve漏洞, 会发现这是一个影响了tomcat6-9.0.31以下版本的漏洞/
只要发现了目标机器开启了有8009和8080端口的话就可以使用poc攻击这个漏洞
poc地址

使用poc尝试去读取文件验证
did

成功,而且我们也得到了一个用户的帐号密码.

使用这个帐号ssh登录上去.

user

没有user.txt,但是有其他两个文件,这两个文件应该是存储了另外一个用户的密码,查看这两个文件会发现应该是gpg加密的公钥和私钥匙对吧

把这两个文件用scp的方式下载下来,使用gpg2john解密出哈希值

1
gpg2john ~/tryhackme.asc > tryhackme.hash

解密成哈希之后,就轮到开膛手登场.

1
john tryhackme.hash --wordlist=rockyou.txt

不一会密码就跑出来了,但是这个还是不是最终的密码,先使用gpg导入钥匙环,
gpg --import tryhackme.asc

再使用

1
gpg --decrypt credential.pgp

最后merlin真正的密码就出来了

使用这个密码切换到merlin用户
usertxt

得到user的flag了,同时我也查询了一下sudo权限,发现允许以root身份使用/usr/bin/zip的命令

好玩的来了,因为我前几天刚好遇到过这个zip提权,但是没有提权成功.没有成功的例子,其实zip也是可以被用来提权的,因为zip有个参数允许运行任意命令.

得到flag.txt
zip