Breach1.0
靶机说明
Breach1.0是一个难度为初级到中级的BooT2Root/CTF挑战。
VM虚机配置有静态IP地址(192.168.110.140),需要将虚拟机网卡设置为host-only方式组网。非常感谢Knightmare和rastamouse进行测试和提供反馈。作者期待大家写出文章,特别是通过非预期的方式获取root权限。
目标
Boot to root:获得root权限,查看flag。
运行环境
靶机:网络连接方式设置为主机模式(host-only),静态IP是192.168.110.140。
攻击机:同网段下有Windows攻击机(物理机),IP地址:192.168.110.220,安装有Nmap、Burpsuit、Wireshark、Sqlmap、nc、Python2.7、JDK、DirBuster、AWVS、Nessus等渗透工具,也可以使用KaliLinux攻击机。
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
运行环境配置
根据前面运行环境提供的说明,首先需要让攻击机可以访问靶机。我这里运行不了kali,所以用物理机当作攻击机。
1)配置靶机位仅主机模式
2)虚拟机编辑器 仅主机模式 设置在一个网段
3)物理机可以ping通靶机即可
信息收集
1)由于现在只知道ip地址,使用nmap扫描端口,查看常用端口是否开放。命令:Namp –v –a 192.168.110.140
发现端口全部开放
漏洞挖掘
0x01:查看首页源码,解码得到密码
1)直接访问80端口web界面是否能打开
可以打开 有内容 但是是一堆英文和一张图片
2)看这些英文和图片没有什么发现,看一眼源码会不会有什么发现。源码里发现了好东西
Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo
3)将这串编码进行base64解码
解码2次后出现了这个
pgibbons:damnitfeelta
0x02:登录cms,查看邮件,下载SSL证书的**库keystore文件
1)点击首页的图片,进入 initech.html
initech.html界面
2)点击initech.html左边的employee portal进入到impresscms登录页
impresscms登录页
3)使用之前两次base64解码得到的密码登录impresscms
pgibbons:damnitfeelta
用户名:pgibbons
密码:damnitfeelta
登陆成功
4)https://www.exploit-db.com/查找impress cms漏洞发现ImpressCMS 1.3.9 SQL注入漏洞
可注入页面/modules/profile/admin/field.php但是该页面目前没有权限访问,
无法进行注入。
5)注意左边的收件箱Inbox显示有3封邮件,依次打开看:
第1封邮件,主要内容:让你的团队只能向管理门户发布任何敏感的内容。我的密码非常安全,发自ImpressCMSAdmin Bill。
第2封邮件,主要内容:Michael采购了IDS/IPS。
第3封邮件,主要内容:有一个peter的SSL证书被保存在192.168.110.140/.keystore。
6)访问192.168.110.140/.keystore下载包含SSL证书的**库keystore文件,keystore是存储公私**的一种文件格式。
0x03:导入流量抓包文件、SSL证书到Wireshark
1)依次访问左边菜单树 发现目录浏览漏洞 但是都没有可以利用的漏洞
2)点击view account菜单进入界面,在依次点击页面的content,会弹出一行链接Content SSLimplementation test capture
3)进入
http://192.168.110.140/impresscms/modules/content/content.php?content_id=1页面,可以看到一个名为:_SSL_test_phase1.pcap的Wireshark流量包文件,下载。
同时,该页面有重要的提示信息:这个pCAP文件是有红色团队的重新攻击产生的,但是不能读取文件。而且 Theytold me the alias, storepassword and keypassword are all set to ‘tomcat’ 别名、Keystore密码、key密码都设置成 tomcat 。
4)由此推测:a.这是一个流量包文件,不能读取很可能因为某些流量有SSL加密(前面的邮件中提供了一个keystore,这里提供了密码;b.系统中可能存在tomcat。)
5)Windows攻击机安装有JDK,到JDK目录下找到keytool.exe工具:路径 C:\ProgramFiles\Java\jre1.8.0_121\bin\keytool.exe
将keystore放到C盘根目录,查看keystore这个**库里面的所有证书,命令 keytool -list –keystore c:\keystore 输入**库口令tomcat
6)从**库导出.p12证书,将keystore拷贝到keytool目录,导出名为:tomcatkeystore.p12的证书,命令:keytool -importkeystore -srckeystore c:\keystore -destkeystore c:\tomcatkeystore.p12 -deststoretype PKCS12
-srcalias tomcat
导出成功 但是保存不到C盘根目录 应该是权限问题
利用管理员权限 再次保存 保存成功
7)文件首先需要安装Wireshark
8)将.p12证书导入Wireshark
在Wireshark中打开 _SSL_test_phase1.pcap 流量包文件,选择菜单:编辑–首选项–Protocols–SSL,点击右边的Edit:输入:192.168.110.140 8443 http 点击选择证书文件 输入密码tomcat
将证书导入Wireshark:在Wireshark中打开 _SSL_test_phase1.pcap 流量包
0x04:从流量包文件中得到tomcat后台URL和密码
1)导入证书后,https流量已经被解密,查看每个http流量包:
获得Tomcat后台登录地址和用户名密码
2)发现包含登录用户名密码的数据包, 采用http basic认证,认证数据包为
Basic dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC
3)这是base64编码的用户名密码,进行解码,得到Tomcat登录用户名密码 Tomcat后台登录用户名:tomcat,密码:Tt\5D8F(#!*u=G)4m7zB
获取shell
0x05:登录tomcat后台
1)我这里打不开
问了一下群里小伙伴 开着代理就可以了
2)输入用户名:tomcat,密码:Tt\5D8F(#!*u=G)4m7zB
登陆进来了
3)这里Tomcat后台get shell是有标准姿势的,准备好jsp版本的各种马,这里有cmd命令小马,菜刀马,jspspy大马,将其打成caidao.zip压缩包,再将zip压缩包将扩展名改为caidao.war,将war包上传部署即可
下载群里大佬们搞得jsp代码 改个密码
开始打包上传试一试
在WAR file to deploy中将war包上传
上传后在目录中找到上传的目录/jsp,已上传jsp木马文件就在这个目录下。
https://192.168.110.140:8443/jsp/jsp.jsp连不上…… 换一个马在试试
这个地方一直是false 也不知道为啥
搜了半天文档和问了群里的人终于找到了这个坑
我一直把木马压缩成rar在改成WAR格式
他先把压缩包打成zip在改格式就行了 一个点在这浪费了这么长时间……
4)上传成功 成功连上
5)上传的菜刀马,一会儿就会消失,文件被删除,需要重新上传war包才能够继续使用菜刀,主机可能有杀软或者杀web shell工具。解决方法:bash反弹一个shell出来。
这个反弹shell问了问群里大佬 需要用kali来做 就拿出来多年未动的kali了
百度搜了一篇bash反弹shell的文章
https://blog.csdn.net/l957456849/article/details/81516765
配置了半天KALI终于行了 KALI各种问题
重新装一下tools 从物理机复制文件到Kali
跟着大佬步骤走
允许靶机通讯 开启监听
上传马 反弹shell
继续跟着大佬思路走
查看用户
进入/var/www/5446 查看两个php文件
下载下来查看发现数据库账号为root,密码为空,连接数据库,得到milton用户的哈希密文,解密后得到明文密码
提权 将根目录下唯一的一张图片下载下来
然后使用strings打印各个图片,发现一串字符coffeestains,为blumbergh用户的密码
提权到blumbergh用户,查看历史
发现一个脚本tidyup.sh 这个脚本只有root权限才可以 就是这个脚本导致过一会木马就会被删除掉
查看sudo权限,发现可以以root权限执行tee命令,于是先将nc反弹shell写入shell.txt文件,在使用tee命令将shell.txt内容暑促回到tidyup.sh
nc监听,反弹root权限shell成功
将flair.jpg移动到home目录下
上传大马,进行下载
Flag为:I NEED TO TALK ABOUT YOUR FLAIR
中间问题不断 百度 问大佬都用上了,最后几步提权也是很懵 完全跟着大佬提供的思路笔记下来的……真心有点懵逼
思路实在不行,百度来凑。
尽量先跟着自己思路走,实在走不动了在看看大佬们的文章。