打開靶機

信息收集：

kali里使用arp-scan -l或者netdiscover發現主機

使用nmap掃描端口

nmap -sS -sV -T4 -n -p- 192.168.31.20

開啟了22、80、8080端口?8080發現開啟了tomcat服務

掃出了他的ip以及他開放的端口，我們接下來拿瀏覽器訪問一下

兩個頁面都沒有什么有用信息，8080端口tomcat頁面有個登錄頁面，但需要賬號和密碼

那下一步我們就是找他的賬號和密碼了

先探測一下這個網站的目錄，我這里使用的kali上的工具

dirsearch -u http://192.168.31.20
dirsearch -u http://192.168.31.20:8080

我們來查看一下 readme.txt 和 backup.zip。

其中說到，給了一個誰也找不到的文件用密碼打開此文件，那么就是指 backup.zip 文件，將其下載下來。

wget http://192.168.31.20:8080/backup.zip

unzip backup.zip

如圖所示確實需要密碼

密碼破解

Kali Linux上的fcrackzip是一款??專門用于破解ZIP文件密碼??的工具，支持??暴力破解??和??字典攻擊??兩種模式，常用于滲透測試中的密碼恢復場景。

沒有的話，下載一下就好

apt install fcrackzip

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip?
如果顯示沒有那個字典，直接cd到那個目錄，解壓它

gzip -d -k rockyou.txt.gz

然后再執行剛才命令

發現了密碼

@administrator_hi5

然后咱們把剛才拖入那個文件解壓一下，看看有什么，命令如下

# -d指定解壓放入的目錄
unzip backup.zip -d back

我們一個一個去查看一下文件內容看能不能找到賬號和登錄密碼

tomcat-users.xml文件下我們發現了兩組密碼

admin melehifokivai

manager melehifokivai

現在可以登錄了

web滲透

?看到這個頁面，我們應該想到這是經典的中間件漏洞的，tomcat的在線部署war包

我們先讓哥斯拉生成一個jsp木馬文件

生成好了以后，把我們生成的jsp文件壓縮正zip文件，再將后綴改成war

然后點部署即可

這樣就可以直接訪問到我們的jsp文件了，然后我們用webshell工具連接