渗透测试 | VulnHub-Breach1.0实战 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

渗透测试 | VulnHub-Breach1.0实战

FreeBuf_18585 2020-03-19 14:11:16 244828

所属地河北省

v2-29a2c0fc3c187e2191f0747884d3cc1f_1440

—————— 昨日回顾 ——————

红日安全出品|转载请注明来源

文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！（来源：红日安全）

渗透测试 | SRC挖洞技巧

0 (1).jpeg

—————— —————— —————

1.7.1 前言

Vulnhub简介

Vulnhub是一个提供各种漏洞环境的靶场平台，供安全爱好者学习渗透使用，大部分环境是做好的虚拟机镜像文件，镜像预先设计了多种漏洞，需要使用VMware或者VirtualBoxBoot2root，从启动虚机到获取操作系统的root权限和查看ﬂag。网址：https://www.vulnhub.com

第一节 Breach1.0

靶机信息

下载链接

https://download.vulnhub.com/breach/Breach-1.0.zip

靶机说明

目标Boot to root：获得root权限，查看ﬂag。

运行环境

信息收集

漏洞挖掘

0x01：查看首页源码，解码得到密码

v2-191bf4b23535030f5c15bf29b0704e94_1440 v2-e1b554b3b4e1bb93ec9cd0acc16aaff1_1440 v2-725807df951b030e30e75550bf9e3e39_1440 v2-96bf5db432a2a3186d791071ceef66d6_1440 v2-89d198a9f6ddb2608b9272bdd068f420_1440

第2封邮件，主要内容：Michael采购了IDS/IPS。

第3封邮件，主要内容：有一个peter的SSL证书被保存在192.168.110.140/.keystore。

点击proﬁle会进入目录浏览：

(4) Windows攻击机安装有JDK，到JDK目录下找到keytool.exe工具：路径 C:\Program

Files\Java\jre1.8.0_121\bin\keytool.exe

v2-9daf7b441e12efb1be3cde030dd2d6a8_1440 v2-e4411a80686c3b5c8c23ff5b63667d47_1440 v2-92348a90730974b22192b30128042e38_1440 v2-d31067ecd24ae1342ff9052fb60b8692_1440 v2-f446fc93422a3a8c7f228d89c1366247_1440

输入：192.168.110.140 8443 http 点击选择证书文件输入密码tomcat

发现包含登录用户名密码的数据包，采用http basic认证，认证数据包为：Basic

dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC

这是base64编码的用户名密码，将 dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC 复制到Burpsuit Decoder进行解码，

得到Tomcat登录用户名密码

Tomcat后台登录用户名：tomcat，密码：Tt\5D8F(#!*u=G)4m7zB

获取shell

0x05：登录Tomcat后台get shell

(1) 登录tomcat后台：

v2-6c4b5c7a21d490d1c5ebea285a09fc4e_1440 v2-adbbfe6cb8495af2bb711c58b1a7c672_1440 v2-5107dcd789c045db799221484d657133_1440

(2) 在WAR ﬁle to deploy中将war包上传：

上传后在目录中找到上传的目录/caidao，已上传jsp木马文件就在这个目录下。

(3) 使用中国菜刀连接

https://192.168.110.140:8443/caidao/caidao.jsp

(4) 使用菜刀命令行连接，执行id;pwd命令成功：

(3) 该目录下发现两个奇怪的php文件，命名非常长且无规律fe4db1f7bc038d60776dcb66ab3404d5.php和

0d93f85c5061c44cdﬀeb8381b2772fd.php，使用菜刀下载下来打开查看：

nc接收反弹sehll成功：

(5) 连接mysql数据库，查看mysql用户，这里输入mysql命令后一直没有回显，直到输入exit退出mysql登录后，查

询回显才出来，命令：

mysql -u root -puse mysql;

select user,password from user;

exit

v2-c1cbc1c51bbb67d70a3e995cc3674eb5_1440

得到milton用户的密码哈希：

6450d89bd3aff1d893b85d3ad65d2ec2

到 https://www.somd5.com/ 解密，得到用户milton的明文密码：thelaststraw

v2-a6dcde29489c76430549e0ef469d2b5e_1440

0x07：提权到用户milton和blumbergh

(1) 无法执行su命令，显示需要一个终端，之前都遇到这个问题，通过Python解决：

python -c 'import pty;pty.spawn("/bin/bash")'

(2) 提权到用户milton

su - milton 密码：thelaststraw

查看milton用户home目录下的some_script.sh文件，没有可利用的信息。

(3) 查看系统内核版本，命令 uanme -a 和 cat /etc/issue

(4) 查看历史命令，无有价值的线索，看到历史命令su提权到了blumbergh用户。需要找到blumbergh用户的密码。

(5) 到现在发现了7张图片，6张在图片目录：

找到可能的密码或提示：

v2-430a1c217204df83f0a9c06da0d54b89_1440

(6)提权到blumbergh用户

用户名：blumbergh

密码：coﬀeestains

v2-179a4f13478f7cfae603bb4ba409a15d_1440

(7)查看历史命令，发现/usr/share/cleanup和tidyup.sh脚本文件：

v2-3c8a8e92c3e91b3e84444dce3c0ac794_1440

读取tidyup.sh脚本分析：

查看sudo权限，执行sudo -l：

(2)nc监听等待反弹shell，查看权限是root，ﬂag是一张图片,将图片拷贝到home目录：

(3)查看一下crontab计划任务，发现果然有每3分钟执行tidyup.sh清理脚本的任务：

(4)使用之前上传的jsp大马JspSpy将ﬂair.jpg下载到Windows：

(5) 查看ﬂag：I NEED TO TALK ABOUT YOUR FLAIR 游戏通关。

v2-96f0c99452a6f2517004102780df8274_1440

v2-2a2b7213bd62643a7277914db3d5bbf5_1440 v2-38a2beba7b5c27603d2941d1cf996238_1440

—————— 今日福利 ——————

# 你坚持学习安全的好习惯是什么？ #

快留言给小编〜

—————— —————— —————

海量安全课程点击以下链接即可观看

http://qiyuanxuetang.net/courses/

# web安全 # 漏洞挖掘 # 渗透测试； # VulnHub-Breach # 靶场平台

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 FreeBuf_18585 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

漏洞靶场实践

展开更多