靶機說明:
VM Name: JIS-CTF : VulnUpload
Difficulty: Beginner
Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags.
Only working with VirtualBox
需要找到5個flag,並且靶機只能導入到VirtualBox中,才能被探測到
目標探測:
本次攻擊機采取的是kali+parrot+windows10,與靶機在同一網段下,
kali的IP地址為:192.168.0.109
接下來用nmap來探測出局域網內靶機的IP地址:
靶機的IP地址為:192.168.0.104
接下來用nmap對靶機進行深度探測:
發現靶機開放了22,80 端口,運行着OpenSSH,Apache服務
既然是5個flag,我們不着急,先訪問主頁:192.168.0.104 :
發現是個登陸框,嘗試一波弱口令跟萬能密碼:
我們先用kali自帶掃描工具dirb掃一下這個靶機的目錄:
發現比較敏感的有/admin_area/,/assets/,/flag/,/robots.txt/,/uploaded_files/
看見flag了,我們先來嘗試訪問:
first blood,The 1st flag is : {8734509128730458630012095}
看見竟然還有robots.txt,我們訪問一下:
整個靶機目錄結構都出來了,我們先嘗試訪問/admin/跟/admin_area/
,這兩個敏感的:
emmmmm......我們看下一個:
The admin area not work :)
.....這也太假了,果斷查看源代碼:
成功get第二個flag: {7412574125871236547895214}
順便好像還得到了用戶名跟密碼:
username:admin
password:3v1l_H@ck3r
想到靶機主頁是一個登陸頁面,我們嘗試登陸:
登陸成功發現是一個文件上傳頁面,先上傳一個php的大馬:
感覺沒有一點限制的好吧...
開始找上傳的路徑,我們在robots.txt下發現兩個關於文件的目錄:
使用第二個目錄名,成功get大馬:
登陸大馬,最后在靶機的根目錄下發現 hint.txt ,里面裝的是flag:
成功get第三個flag:{7645110034526579012345670}
並且還有這樣一句提示:try to find user technawi password to read the flag.txt file, you can find it in a hidden file ;)
翻譯過來是:嘗試找到用戶technawi 跟密碼來讀取flag.txt文件,你可以在隱藏文件中找到它;
看來我們還需要找到用戶technawi的密碼,
由於我們用的是大馬,方便了許多,所以直接全盤搜索flag.txt:
果然發現了第四個flag,我們cat查看這個flag:
得到第四個flag為:{7845658974123568974185412}
並且得到用戶 technawi 的密碼:3vilH@ksor
前面我們看到該靶機開啟了SSH服務,我們直接使用該賬號密碼登陸:
登陸成功!我們用老方法來尋找flag.txt文件
我們嘗試讀取這個文件:
成功得到第五個flag : {5473215946785213456975249}
做到這里,我們嘗試提權,搞笑的是,我們在technawi用戶目錄下發現了
.sudo_as_admin_successful 文件
這不就說明,根據這個文件的提示,technawi用戶可以成功提升到root權限,我們來嘗試:
bingo!!!這樣才算全部完成,不過這個靶機比較簡單,各位看看就好
-----------------------------------------------------------------------------------------
由於第一個靶機太簡單,這里再補充一個:
靶機說明:
難度:
初級
描述:
DERP先生和系統管理員兩個臭大叔是誰開始自己的公司,derpnstink。招聘合格的人才而建立的IT景觀,他們決定一起砍自己的系統,幾乎是准備去生活……
說明:
這是一boot2root基於Ubuntu的虛擬機。這是測試在VMware融合和workstation12使用VMware DHCP設置的網絡接口。它是設計模型的使用,我們可以在我的機器一個小所以OSCP實驗室一個曲線球,但沒有什么太花哨。粘的方法和經典的黑客使用enumerate所有的東西!
例子:(ab0bfd73daaec7912dcdca1ba0ba3d05 FLAG1)。不要浪費時間在decrypting哈希旗有沒有價值,因為它比其他的挑戰標識符。
你需要獲得4個flag
目標探測:
本次攻擊機器為kali+parrot+windows10,
kali的IP地址為:192.168.0.106
靶機用VM打開,和攻擊機在同一局域網內,
我們用nmap先來得到靶機的IP地址:
靶機IP地址為:192.168.0.104
我們用nmap對靶機進行深度探測:
發現靶機開放了21,22,80 端口,並且開放了ftp,ssh,Apache 服務
我們訪問靶機主頁:
發現靶機主頁一直在加載....我們用curl來探測這個靶機:
....果然發現了第一個flag: flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)
我們直接用dirb對靶機進行目錄掃描:
爆出了非常多的目錄,不過還是有幾個比較敏感的 /php/,/weblog/ ...
另外還發現了/wp-admin....讓我想起來wordpress的架構
我們嘗試訪問/weblog/ 這個目錄:
發現被重定向到 derpnstink.local,因此,我們在 /etc/hosts文件中添加域名以訪問該站點,
這里換用parrot來繼續下面操作:
OK!我們再次訪問這個靶機:http://192.168.0.104/weblog/
訪問成功,這才有點wordpress的樣子,那我們就不客氣了,直接用kali自帶的wp-scan來枚舉
這個wordpress站點的插件,主題和用戶:
Wpscan向我們展示了插件是可利用的,我們還發現用戶名和密碼都是admin。
我們使用metasploit來利用此漏洞:
成功獲取反向shell
為了方便利用,我們上傳大馬到 /weblog/uploads/目錄下:
上傳成功,我們來嘗試訪問大馬:
成功訪問!
我們打開wp-config.php並找到數據庫的名稱和訪問數據庫所需的用戶:
成功得到賬號:root 密碼:mysql 數據庫:wordpress
接下來就是登陸數據庫,突然想到在用dirb跑目錄的時候,有個/php/phpmyadmin 目錄,
我們嘗試登陸:
登陸成功后在 " wp-posts " 這個表中拿到flag2:
flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)
下面我們要查看另一個用戶名跟密碼,我們找 " wp-users "這個表,發現了用戶名跟密碼的哈希值:
username : unclestinky hex(password) : $P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41
username : admin hex(password) : $P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/
我們使用john the ripper破解第一個用戶密碼的哈希值:
得到密碼為:wedgie57 賬號為:stinky
我們使用得到的賬號密碼登陸FTP,成功登陸並得到了2個文件,
一個是與一個“mrderp”用戶對話記錄:
翻譯:
嘿,我不能登錄到WordPress了。你能調查一下嗎?
是啊。你需要密碼重置嗎?
我想我意外地刪除了我的帳戶
我只需要登錄一次就可以改變
我要收集數據包,這樣我們就能知道到底發生了什么。
這似乎有點過火,但WTV
開始嗅探器!!!!!
-_-
很好,我想我給你定好了。你嘗試登錄嗎?
太棒了!
我們真的是最好的系統管理員團隊
我想我們是…
好吧,我做了更改,隨時可以解除我的帳戶
完成!耶伊
應為stinky使用了嗅探網絡流量來找到mrderp的密碼,
這好像需要我們分析流量,這就需要有pcap流量數據包
另一個為 ssh 的登陸密鑰:
我們把密鑰復制到本地,然后嘗試去登陸ssh,盡管給了ssh_key.txt 賦予了777 權限
發現還是登陸被拒絕:
我嘗試用 stinky/wedgie57 來直接登陸靶機:
登進去在桌面上發現了flag.txt文件,打開后我們得到了第三個flag:
flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)
我們在 /Document 目錄下終於找到我們想要的數據流量包:derpissues.pcap
我感覺pcap流量數據包只有用wireshark打開分析:
我這里直接拖放到本地來分析,當然也可以使用meterpreter的download下載到本地,或者
使用ftp文件傳輸到本地,
成功得到用戶 mrderp 的密碼:derpderpderpderpderpderpderp
我們以mrderp的身份登陸,並在 /home/Desktop 目錄下發現一個helpdesk.log:
輸入命令“sudo -l”:
出現一個關鍵詞:(ALL) /home/mrderp/binaries/derpy*
本來這個目錄下面是沒有“/binaries/”目錄的,發現我們可以在/home/mrderp/binaries/derpy *
中以root身份運行以derpy開頭的文件,現在我們創建一個bash腳本來生成bash shell並將其保存為derpy.sh
創建文件后,我們給它讀寫可執行權限:
下面運行該文件:
提權成功,我們現在是root權限,我們抓緊時間尋找最后一個flag:
成功拿下最后一個flag:
flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)
靶機總結:
1.學會用工具,比如wireshark..來分析數據包,是十分重要的,現在的漏洞前沿是流量網絡傳輸沒有
加殼,導致流量數據容易被劫持,學會分析數據包,就能得到敏感信息
2.此靶機我得到了ssh登陸的私鑰,並且還給私鑰txt賦予了777權限。但是仍然登陸失敗,如果哪位大佬
做出來了,不妨指點小弟
3.多實踐自己印象才深,光說不練假把式,靶機全部來自vulnhub,大家可以自行下載