23. CTF綜合靶機滲透(十六)

時間 2019-11-10

標籤 ctf 綜合靶機滲透十六简体版

原文原文鏈接

靶機說明：php

VM Name: JIS-CTF : VulnUploadmysql

Difficulty: Beginnerweb

Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags.sql

Only working with VirtualBoxshell

須要找到5個flag，而且靶機只能導入到VirtualBox中，才能被探測到數據庫

目標探測：windows

本次攻擊機採起的是kali+parrot+windows10，與靶機在同一網段下，bash

kali的IP地址爲：192.168.0.109 網絡

接下來用nmap來探測出局域網內靶機的IP地址：架構

靶機的IP地址爲：192.168.0.104

接下來用nmap對靶機進行深度探測：

發現靶機開放了22，80 端口，運行着OpenSSH，Apache服務

既然是5個flag，咱們不着急，先訪問主頁：192.168.0.104 ：

發現是個登錄框，嘗試一波弱口令跟萬能密碼：

咱們先用kali自帶掃描工具dirb掃一下這個靶機的目錄：

發現比較敏感的有/admin_area/，/assets/，/flag/，/robots.txt/，/uploaded_files/

看見flag了，咱們先來嘗試訪問：

first blood，The 1st flag is : {8734509128730458630012095}

看見居然還有robots.txt，咱們訪問一下：

整個靶機目錄結構都出來了，咱們先嚐試訪問/admin/跟/admin_area/

，這兩個敏感的：

emmmmm......咱們看下一個：

The admin area not work :)

.....這也太假了，果斷查看源代碼：

成功get第二個flag： {7412574125871236547895214}

順便好像還獲得了用戶名跟密碼：

username：admin

password：3v1l_H@ck3r

想到靶機主頁是一個登錄頁面，咱們嘗試登錄：

登錄成功發現是一個文件上傳頁面，先上傳一個php的大馬：

感受沒有一點限制的好吧...

開始找上傳的路徑，咱們在robots.txt下發現兩個關於文件的目錄:

使用第二個目錄名，成功get大馬：

登錄大馬，最後在靶機的根目錄下發現 hint.txt ，裏面裝的是flag:

成功get第三個flag：{7645110034526579012345670}

而且還有這樣一句提示：try to find user technawi password to read the flag.txt file, you can find it in a hidden file ;)

翻譯過來是：嘗試找到用戶technawi 跟密碼來讀取flag.txt文件，你能夠在隱藏文件中找到它；

看來咱們還須要找到用戶technawi的密碼，

因爲咱們用的是大馬，方便了許多，因此直接全盤搜索flag.txt：

果真發現了第四個flag，咱們cat查看這個flag:

獲得第四個flag爲：{7845658974123568974185412}

而且獲得用戶 technawi 的密碼：3vilH@ksor

前面咱們看到該靶機開啓了SSH服務，咱們直接使用該帳號密碼登錄：

登錄成功！咱們用老方法來尋找flag.txt文件

咱們嘗試讀取這個文件：

成功獲得第五個flag : {5473215946785213456975249}

作到這裏，咱們嘗試提權，搞笑的是，咱們在technawi用戶目錄下發現了

.sudo_as_admin_successful 文件

這不就說明，根據這個文件的提示，technawi用戶能夠成功提高到root權限，咱們來嘗試：

bingo!!!這樣纔算所有完成，不過這個靶機比較簡單，各位看看就好

-----------------------------------------------------------------------------------------

因爲第一個靶機太簡單，這裏再補充一個：

靶機說明：

難度：

初級

描述：

DERP先生和系統管理員兩個臭大叔是誰開始本身的公司，derpnstink。招聘合格的人才而創建的IT景觀，他們決定一塊兒砍本身的系統，幾乎是準備去生活……

說明：

這是一boot2root基於Ubuntu的虛擬機。這是測試在VMware融合和workstation12使用VMware DHCP設置的網絡接口。它是設計模型的使用，咱們能夠在個人機器一個小因此OSCP實驗室一個曲線球，但沒有什麼太花哨。粘的方法和經典的黑客使用enumerate全部的東西！

例子：（ab0bfd73daaec7912dcdca1ba0ba3d05 FLAG1）。不要浪費時間在decrypting哈希旗有沒有價值，由於它比其餘的挑戰標識符。

你須要得到4個flag

目標探測：

本次攻擊機器爲kali+parrot+windows10，

kali的IP地址爲：192.168.0.106

靶機用VM打開，和攻擊機在同一局域網內，

咱們用nmap先來獲得靶機的IP地址：

靶機IP地址爲：192.168.0.104

咱們用nmap對靶機進行深度探測：

發現靶機開放了21，22，80 端口，而且開放了ftp，ssh，Apache 服務

咱們訪問靶機主頁：

發現靶機主頁一直在加載....咱們用curl來探測這個靶機：

....果真發現了第一個flag: flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

咱們直接用dirb對靶機進行目錄掃描：

爆出了很是多的目錄，不過仍是有幾個比較敏感的 /php/，/weblog/ ...

另外還發現了/wp-admin....讓我想起來wordpress的架構

咱們嘗試訪問/weblog/ 這個目錄：

發現被重定向到 derpnstink.local，所以，咱們在 /etc/hosts文件中添加域名以訪問該站點，

這裏換用parrot來繼續下面操做：

OK!咱們再次訪問這個靶機：http://192.168.0.104/weblog/

訪問成功，這纔有點wordpress的樣子，那咱們就不客氣了，直接用kali自帶的wp-scan來枚舉

這個wordpress站點的插件，主題和用戶：

Wpscan向咱們展現了插件是可利用的，咱們還發現用戶名和密碼都是admin。

咱們使用metasploit來利用此漏洞：

成功獲取反向shell

爲了方便利用，咱們上傳大馬到 /weblog/uploads/目錄下：

上傳成功，咱們來嘗試訪問大馬：

成功訪問！

咱們打開wp-config.php並找到數據庫的名稱和訪問數據庫所需的用戶：

成功獲得帳號：root 密碼：mysql 數據庫：wordpress

接下來就是登錄數據庫，忽然想到在用dirb跑目錄的時候，有個/php/phpmyadmin 目錄，

咱們嘗試登錄：

登錄成功後在 " wp-posts " 這個表中拿到flag2：

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

下面咱們要查看另外一個用戶名跟密碼，咱們找 " wp-users "這個表，發現了用戶名跟密碼的哈希值：

username : unclestinky hex(password) : $P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41

username : admin hex(password) : $P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/

咱們使用john the ripper破解第一個用戶密碼的哈希值：

獲得密碼爲：wedgie57 帳號爲：stinky

咱們使用獲得的帳號密碼登錄FTP，成功登錄並獲得了2個文件，

一個是與一個「mrderp」用戶對話記錄：

翻譯：

嘿，我不能登陸到WordPress了。你能調查一下嗎？
是啊。你須要密碼重置嗎？
我想我意外地刪除了個人賬戶
我只須要登陸一次就能夠改變
我要收集數據包，這樣咱們就能知道到底發生了什麼。
這彷佛有點過火，但WTV
開始嗅探器！！！！！
-_-
很好，我想我給你定好了。你嘗試登陸嗎？
太棒了！
咱們真的是最好的系統管理員團隊
我想咱們是…
好吧，我作了更改，隨時能夠解除個人賬戶
完成！耶伊