23. CTF综合靶机渗透(十六)
靶机说明:
VM Name: JIS-CTF : VulnUpload
Difficulty: Beginner
Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags.
Only working with VirtualBox
需要找到5个flag,并且靶机只能导入到VirtualBox中,才能被探测到
目标探测:
本次攻击机采取的是kali+parrot+windows10,与靶机在同一网段下,
kali的IP地址为:192.168.0.109
接下来用nmap来探测出局域网内靶机的IP地址:
靶机的IP地址为:192.168.0.104
接下来用nmap对靶机进行深度探测:
发现靶机开放了22,80 端口,运行着OpenSSH,Apache服务
既然是5个flag,我们不着急,先访问主页:192.168.0.104 :
发现是个登陆框,尝试一波弱口令跟万能密码:
我们先用kali自带扫描工具dirb扫一下这个靶机的目录:
发现比较敏感的有/admin_area/,/assets/,/flag/,/robots.txt/,/uploaded_files/
看见flag了,我们先来尝试访问:
first blood,The 1st flag is : {8734509128730458630012095}
看见竟然还有robots.txt,我们访问一下:
整个靶机目录结构都出来了,我们先尝试访问/admin/跟/admin_area/
,这两个敏感的:
emmmmm......我们看下一个:
The admin area not work :)
.....这也太假了,果断查看源代码:
成功get第二个flag: {7412574125871236547895214}
顺便好像还得到了用户名跟密码:
username:admin
password:3v1l_H@ck3r
想到靶机主页是一个登陆页面,我们尝试登陆:
登陆成功发现是一个文件上传页面,先上传一个php的大马:
感觉没有一点限制的好吧...
开始找上传的路径,我们在robots.txt下发现两个关于文件的目录:
使用第二个目录名,成功get大马:
登陆大马,最后在靶机的根目录下发现 hint.txt ,里面装的是flag:
成功get第三个flag:{7645110034526579012345670}
并且还有这样一句提示:try to find user technawi password to read the flag.txt file, you can find it in a hidden file ;)
翻译过来是:尝试找到用户technawi 跟密码来读取flag.txt文件,你可以在隐藏文件中找到它;
看来我们还需要找到用户technawi的密码,
由于我们用的是大马,方便了许多,所以直接全盘搜索flag.txt:
果然发现了第四个flag,我们cat查看这个flag:
得到第四个flag为:{7845658974123568974185412}
并且得到用户 technawi 的密码:3vilH@ksor
前面我们看到该靶机开启了SSH服务,我们直接使用该账号密码登陆:
登陆成功!我们用老方法来寻找flag.txt文件
我们尝试读取这个文件:
成功得到第五个flag : {5473215946785213456975249}
做到这里,我们尝试提权,搞笑的是,我们在technawi用户目录下发现了
.sudo_as_admin_successful 文件
这不就说明,根据这个文件的提示,technawi用户可以成功提升到root权限,我们来尝试:
bingo!!!这样才算全部完成,不过这个靶机比较简单,各位看看就好
-----------------------------------------------------------------------------------------
由于第一个靶机太简单,这里再补充一个:
靶机说明:
难度:
初级
描述:
DERP先生和系统管理员两个臭大叔是谁开始自己的公司,derpnstink。招聘合格的人才而建立的IT景观,他们决定一起砍自己的系统,几乎是准备去生活……
说明:
这是一boot2root基于Ubuntu的虚拟机。这是测试在VMware融合和workstation12使用VMware DHCP设置的网络接口。它是设计模型的使用,我们可以在我的机器一个小所以OSCP实验室一个曲线球,但没有什么太花哨。粘的方法和经典的黑客使用enumerate所有的东西!
例子:(ab0bfd73daaec7912dcdca1ba0ba3d05 FLAG1)。不要浪费时间在decrypting哈希旗有没有价值,因为它比其他的挑战标识符。
你需要获得4个flag
目标探测:
本次攻击机器为kali+parrot+windows10,
kali的IP地址为:192.168.0.106
靶机用VM打开,和攻击机在同一局域网内,
我们用nmap先来得到靶机的IP地址:
靶机IP地址为:192.168.0.104
我们用nmap对靶机进行深度探测:
发现靶机开放了21,22,80 端口,并且开放了ftp,ssh,Apache 服务
我们访问靶机主页:
发现靶机主页一直在加载....我们用curl来探测这个靶机:
....果然发现了第一个flag: flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)
我们直接用dirb对靶机进行目录扫描:
爆出了非常多的目录,不过还是有几个比较敏感的 /php/,/weblog/ ...
另外还发现了/wp-admin....让我想起来wordpress的架构
我们尝试访问/weblog/ 这个目录:
发现被重定向到 derpnstink.local,因此,我们在 /etc/hosts文件中添加域名以访问该站点,
这里换用parrot来继续下面操作:
OK!我们再次访问这个靶机:http://192.168.0.104/weblog/
访问成功,这才有点wordpress的样子,那我们就不客气了,直接用kali自带的wp-scan来枚举
这个wordpress站点的插件,主题和用户:
Wpscan向我们展示了插件是可利用的,我们还发现用户名和密码都是admin。
我们使用metasploit来利用此漏洞:
成功获取反向shell
为了方便利用,我们上传大马到 /weblog/uploads/目录下:
上传成功,我们来尝试访问大马:
成功访问!
我们打开wp-config.php并找到数据库的名称和访问数据库所需的用户:
成功得到账号:root 密码:mysql 数据库:wordpress
接下来就是登陆数据库,突然想到在用dirb跑目录的时候,有个/php/phpmyadmin 目录,
我们尝试登陆:
登陆成功后在 " wp-posts " 这个表中拿到flag2:
flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)
下面我们要查看另一个用户名跟密码,我们找 " wp-users "这个表,发现了用户名跟密码的哈希值:
username : unclestinky hex(password) : $P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
username : admin hex(password) : $P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/
我们使用john the ripper破解第一个用户密码的哈希值:
得到密码为:wedgie57 账号为:stinky
我们使用得到的账号密码登陆FTP,成功登陆并得到了2个文件,
一个是与一个“mrderp”用户对话记录:
翻译:
嘿,我不能登录到WordPress了。你能调查一下吗?
是啊。你需要密码重置吗?
我想我意外地删除了我的帐户
我只需要登录一次就可以改变
我要收集数据包,这样我们就能知道到底发生了什么。
这似乎有点过火,但WTV
开始嗅探器!!!!!
-_-
很好,我想我给你定好了。你尝试登录吗?
太棒了!
我们真的是最好的系统管理员团队
我想我们是…
好吧,我做了更改,随时可以解除我的帐户
完成!耶伊
应为stinky使用了嗅探网络流量来找到mrderp的密码,
这好像需要我们分析流量,这就需要有pcap流量数据包
另一个为 ssh 的登陆密钥:
我们把密钥复制到本地,然后尝试去登陆ssh,尽管给了ssh_key.txt 赋予了777 权限
发现还是登陆被拒绝:
我尝试用 stinky/wedgie57 来直接登陆靶机:
登进去在桌面上发现了flag.txt文件,打开后我们得到了第三个flag:
flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)
我们在 /Document 目录下终于找到我们想要的数据流量包:derpissues.pcap
我感觉pcap流量数据包只有用wireshark打开分析:
我这里直接拖放到本地来分析,当然也可以使用meterpreter的download下载到本地,或者
使用ftp文件传输到本地,
成功得到用户 mrderp 的密码:derpderpderpderpderpderpderp
我们以mrderp的身份登陆,并在 /home/Desktop 目录下发现一个helpdesk.log:
输入命令“sudo -l”:
出现一个关键词:(ALL) /home/mrderp/binaries/derpy*
本来这个目录下面是没有“/binaries/”目录的,发现我们可以在/home/mrderp/binaries/derpy *
中以root身份运行以derpy开头的文件,现在我们创建一个bash脚本来生成bash shell并将其保存为derpy.sh
创建文件后,我们给它读写可执行权限:
下面运行该文件:
提权成功,我们现在是root权限,我们抓紧时间寻找最后一个flag:
成功拿下最后一个flag:
flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)
靶机总结:
1.学会用工具,比如wireshark..来分析数据包,是十分重要的,现在的漏洞前沿是流量网络传输没有
加壳,导致流量数据容易被劫持,学会分析数据包,就能得到敏感信息
2.此靶机我得到了ssh登陆的私钥,并且还给私钥txt赋予了777权限。但是仍然登陆失败,如果哪位大佬
做出来了,不妨指点小弟
3.多实践自己印象才深,光说不练假把式,靶机全部来自vulnhub,大家可以自行下载