标签:尝试 文件 1.0 查看 发现 密码 Breach 靶机
靶机Breach 1.0
1 主机发现
Kali IP地址 192.168.110.128
靶机 IP地址 192.168.110.140
2 端口/服务扫描
靶机开放了超多的端口…,后台先用nmap工具跑一下端口服务,手工对常见端口进行测试
3 漏洞挖掘
直接访问http://192.168.110.140发现有网页,也就是说靶机开放80端口提供http服务,使用dirb扫描一下网站后台目录…
只扫到一个images路径,尝试访问发现能够查看到该文件夹里的所有图片,通过信息可以看到使用的中间件是Apache,系统是Ubuntu
发现bill.png里存在信息
在主页上点了点,发现图片上有个链接,点击图片后进入登录页面
并且再次留意首页信息发现bill人名被提及,并且在网页源代码的下方有一串编码
尝试登录,抓包分析账户密码是明文传输,返回包无可利用信息
查看robots.txt信息
尝试注册为新用户,但并不能登录或许需要管理员激活账号,因此猜测我们需要获取靶机泄露一组账户密码,想起首页HTML源代码注释中的一串编码,尝试解码
得到一组被:分割开的字符串,大概率是账号密码,尝试用来登录,成功登入网站后台管理页面
发现存在上传点,可以在图片上传点考虑上传图片马
结果失败,应该是被过滤掉了
修改文件名后缀为.png测试后,上传成功,但是查看图片后发现图片里的一句话木马被过滤掉了T^T
尝试从音频和视频上传点进行测试,发现视频这里可以直接添加php代码,插入成功,尝试用菜刀或是蚁剑连接 结果失败
查看该账户的收件箱有3条,浏览到最后一条发现可用信息
发件人将一个文件存放在了192.168.110.140/.keystore路径下,立马去查看
但我并不知道这是个什么文件T^T,但一定有用…浏览其他内容,发现Content标签内留有包含关于SSL的测试文件,下载后用Wireshark打开分析,并且内容中还提到关于该加密文件的密码什么的都设置为了tomcat
有看到数据信息在8443端口进行了https通信
尝试访问https://192.168.110.140:8443,页面404,但报错发现靶机使用的中间件是Tomcat 6.0
可以找Tomcat对应的版本漏洞,既然是https服务,那么就涉及到SSL证书问题,涉及到公钥私钥加密算法等等,回想之前的keystore文件,很有可能是些相关密钥数据,借助keytool工具,需要提供密钥库的指令,解密得到密码是tomcat,与之前Content中的内容吻合
成功导出证书
有了证书,那么就可以在Wireshark中查看之前https加密的内容,下一步将证书导入
添加证书信息
之后就可以查看到原本加密的数据,其中存在一条GET请求路径,我们也尝试访问
可以看到需要我们提供账户密码,使用手里有的一组账户pgibbons尝试登录 失败,想想是否遗漏了什么,我们已知的账户名称还有bill这个多次出现在网站中的名字,并且之前得到过bill.png文件还没有利用,尝试获取有用信息,用vim打开图片,底部存在一组单词coffeestains和tEXtComment,暂且认为是密码用来登录看看 再次失败
既然和手里已知的两组可能账户密码无关,那么就需要从别处获取,再次回到流量包分析,看是否存在管理员登录时泄露的账户密码等信息,GET请求包中发现了tomcat:Tt\5D8F(#!*u=G)4m7zB,测试登录 成功!!!进入Tomcat后台
查找Tomcat 6.0存在的漏洞并且看到后台支持上传war文件,那么我们优先考虑使用war后门文件部署漏洞
利用war后门文件部署漏洞,需要war文件可以从网上找现成的或是使用msfvenom生成,这里演示msfvenom工具制作war后门文件
之后在后台上传该war文件,服务器返回OK,说明上传成功
4 漏洞利用
进入msfconsole打开监听模块,然后访问https://192.168.110.140:8443/shell/
反弹shell成功!!!!!!!!!!!!拿到meterpreter
python -c 'import pty;pty.spawn("/bin/bash")'
5 提权
提权又是一轮信息收集的过程…查看系统版本
使用searchsploit工具查看该版本的漏洞,发现本地提权的还不少,都可以试一试
但发现被禁用了wget命令我无法从远程服务器把脚本下载到靶机中,那该如何是好呢,想其他办法,首先明确一点现在使用的shell是反弹tomcat用户的shell,拥有着很小的权限,能够执行的操作也有限,这时候可以考虑水平越权或是垂直越权,查看/etc/passwd文件
可以看到milton和blumbergh两个账户能够拥有较高的权限
特别注意到,blumbergh用户似乎和Bill有关系
探索ing
发现网站目录下有两个.php文件,打开后发现是连接数据库的配置文件,用户名root,密码为空,意思是我们可以直接无密码访问数据库了!!
果然!!!!直接冲冲冲查看user表中有无密码信息,在mysql库里的user表找到账户milton的md5存放的密码
得到密码thelaststraw
su -l登录milton账户,此时拿到的是/bin/bash,拥有着很大的权限
结果提权还是T^T…查看milton用户的文件
在隐藏文件.bash_history中看到了切换blumbergh用户的记录,让我们尝试切换用户,密码使用的是之前bill.png中的两组字符串
wuhu!!!成功切换,并且发现能够以root身份无密码执行的命令tee和tidyup.sh文件
查看tee帮助信息,能够对文件进行写入操作
再来看看那个.sh文件,root具有完全权限,那么我们就可以用tee命令让我们暂时获取root权限并对该文件写入反弹shell脚本,然后监听不就完事了!!此时反弹回来的shell就是root的
kali提前打开对7777端口的监听
然后执行写入命令 写入成功
最后提权成功!!!!!!!!!!!!!完结撒花
6 总结
1 Tomcat等其他中间件的漏洞要熟悉
2 关于https证书的相关问题
3 keytool工具的使用
4 Wireshark工具的使用
5 提权多尝试垂直或水平越权
标签:尝试,文件,1.0,查看,发现,密码,Breach,靶机 来源: https://blog.csdn.net/weixin_43219942/article/details/116810968
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。