vulnhub打靶日记之--------breach1

实验环境：win10主机（需要安装wireshark、burpsuite）、breach1靶机（仅主机模式，固定ip为192.168.110.140）、kali攻击机（仅主机模式）

1.今天记录打vulnhub靶机的writeup。首先从vulnhub官网下载我们需要攻击的靶机https://download.vulnhub.com/breach/Breach-1.0.zip利用vm打开虚拟机。

2.进行信息收集，利用kali中自带nmap工具进行端口扫描，扫描192.168.110.140。扫描发现开放了n个端口,可能开启了ids/ips。其他不管只要开放80就行，直接浏览器访问。

3.访问主页发现一段英文（记录的该官网受到攻击，而攻击他们的并不是什么其他人是一个离职的员工。所以请了安全工程师做顾问）和一张图片

然后右键查看源代码，发现一个重要注释。是经过两次base64加密的字符。解密后的内容为：pgibbons:damnitfeel$goodtobeagang$ta。记住这个内容是后面的关键信息。

点击图片转到另外一个页面。

然后每一个链接都点一下看一下。然后发现了一个cms系统。

到这里我们的渗透思路有：用户密码暴力破解、测试sql注入、查找cms历史漏洞。

4.在msf中查找该cms都有如下漏洞，但经过测试都不存在这些漏洞。也不存在sql注入和用户密码暴力破解。

到这，就要利用到之前信息收集到的经过base64解密的内容。刚刚对应账号密码。

然后成功登录

5.登录后继续信息收集。一顿翻后发现三个未读信息，从中找到一个keystore

然后在一顿点，home-->content-->SSL implementation test capture获得pcap包

将pcap包和keystore下载到本地。

6.用wireshark打开pcap包，发现数据包被加密。

7.利用jdk带的keytool工具从keystore文件中到出证书。口令为tomcat

然后在wireshark中点编辑-->首先项-->protocel-->TLS-->Edit 填写内容。点击ok

然后可以看到解密后的内容。

然后过滤出http内容，过滤语句为：ip.src == 192.168.110.140 || ip.dst == 192.168.110.140 and http

查看数据包，然后发现访问了8443端口路径/_M@nag3Me/html。然后我们在浏览器打开，发现链接错误。

这个原因是浏览器的安全策略问题。需要先挂burpsuite代理。

8.挂代理后访问，弹出http basic认证账号密码为tomcat：tomcat。然后登录来tomcat管理界面

9.在kali中利用msf生成war包后门。

然后kali中开启msf开启监听。

 上传部署后门war包。在点击deploy之前先在burp开启拦截。

bp开启拦截，然后再点forward

再快速点击访问上传的war包，brup拦截。

拦截后再forward放包，这里访问上传文件要快不然会被清理，这点后面会提到为什么会被清理。

msf成功上线靶机。

10.拿到shell对本机进行信息收集getuid、sysinfo。用命令shell进行交互连接。再用python获得交互式shell，再进行信息收集。

11.查看到当前用户为tomcat6用户，需要对靶机进行提权。这里对靶机提权的思路有:1、搜索系统漏洞进行提权。2、利用命令find、ls -a查看敏感文件信息。3、用命令history查看历史操作。4、利用命令sudo -l查看能用root权限执行的程序。

利用msf漏洞数据库查到没有符合4.2内核利用条件。

然后看了/etc/password的内容。重点关注几个root、milton（开头主页看到的图片的男主角名字）、blumbergh（开头英文写的安全顾问的名字）、mysql用户。

12.存在mysql用户再结合之前信息收集，可以知道80端口网站搭建在lamp环境中。然后继续翻文件。再/var/www 命令下发现一个5446的文件夹，打开发现两个php文件。

查看php文件的内容，发现有一个php文件中包含了连接数据库内容。root登录数据库为空密码。

 

直接登录数据库。

一顿找，先查看所以的数据库。其中mysql库记录了用户信息。切换到mysql库查看表

其中有一个user表。里面其中有user和password的字段。直接查看

发现milton用户，密码使用了md5加密，直接到解密网站破解。

13.直接切milton账号登录。

继续翻文件内容，发现some_script.sh脚本打开什么也没有

history查看milton用户的历史行为，发现先切换blumbergh的用户，然后再sudo。说明blumbergh具有root权限。

下一步就是找blumbergh的密码，这里要找到blumbergh的密码需要提取之前的找到的图片。因为密码绑定再图片中了。用wget从靶机下载bill.png的图片，用linux自带的strings分析图片。

得到blumbergh的密码，切换到blumbergh用户。

14.利用命令history查看历史行为。

发现/usr/share/cleanup下有一个tidyup.sh脚本，然后查看。看完注释发现是定时任务清理恶意文件的脚本。对应了前面上传war包后要快速访问避免被清理。

这里应该想到直接修改脚本文件内容，连接反弹shell。但查看文件权限只有root才能修改。

15.到这再查看该用户有哪些可以用root执行的程序。

有一个tee的程序，然后百度发现tee具有复制覆盖其他文件的功能。这就刚刚好可以修改tidyup.sh文件的内容然后反弹shell了。然后直接覆盖tidyup.sh的脚本为反弹连接的命令。

kali开启监听后成功反弹shell,whoami查看为root用户。到此提权成功。

16.ls -a查看目录内容有一个.flag.txt文件，成功拿到flag。