打开靶机

信息收集：

kali里使用arp-scan -l或者netdiscover发现主机

使用nmap扫描端口

nmap -sS -sV -T4 -n -p- 192.168.31.20

开启了22、80、8080端口 8080发现开启了tomcat服务

扫出了他的ip以及他开放的端口，我们接下来拿浏览器访问一下

两个页面都没有什么有用信息，8080端口tomcat页面有个登录页面，但需要账号和密码

那下一步我们就是找他的账号和密码了

先探测一下这个网站的目录，我这里使用的kali上的工具

dirsearch -u http://192.168.31.20
dirsearch -u http://192.168.31.20:8080

我们来查看一下 readme.txt 和 backup.zip。

其中说到，给了一个谁也找不到的文件用密码打开此文件，那么就是指 backup.zip 文件，将其下载下来。

wget http://192.168.31.20:8080/backup.zip

unzip backup.zip

如图所示确实需要密码

密码破解

Kali Linux上的fcrackzip是一款​​专门用于破解ZIP文件密码​​的工具，支持​​暴力破解​​和​​字典攻击​​两种模式，常用于渗透测试中的密码恢复场景。

没有的话，下载一下就好

apt install fcrackzip

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip 
如果显示没有那个字典，直接cd到那个目录，解压它

gzip -d -k rockyou.txt.gz

然后再执行刚才命令

发现了密码

@administrator_hi5

然后咱们把刚才拖入那个文件解压一下，看看有什么，命令如下

# -d指定解压放入的目录
unzip backup.zip -d back

我们一个一个去查看一下文件内容看能不能找到账号和登录密码

tomcat-users.xml文件下我们发现了两组密码

admin melehifokivai

manager melehifokivai

现在可以登录了

web渗透

 看到这个页面，我们应该想到这是经典的中间件漏洞的，tomcat的在线部署war包

我们先让哥斯拉生成一个jsp木马文件

生成好了以后，把我们生成的jsp文件压缩正zip文件，再将后缀改成war

然后点部署即可

这样就可以直接访问到我们的jsp文件了，然后我们用webshell工具连接