23. CTF综合靶机渗透(十六)

靶机说明：

VM Name: JIS-CTF : VulnUpload

Difficulty: Beginner

Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags.

Only working with VirtualBox

须要找到5个flag，而且靶机只能导入到VirtualBox中，才能被探测到

目标探测：

本次攻击机采起的是kali+parrot+windows10，与靶机在同一网段下，

kali的IP地址为：192.168.0.109  

接下来用nmap来探测出局域网内靶机的IP地址：

靶机的IP地址为：192.168.0.104

接下来用nmap对靶机进行深度探测：

发现靶机开放了22，80 端口，运行着OpenSSH，Apache服务

既然是5个flag，咱们不着急，先访问主页：192.168.0.104  ：

发现是个登录框，尝试一波弱口令跟万能密码：

咱们先用kali自带扫描工具dirb扫一下这个靶机的目录：

发现比较敏感的有/admin_area/，/assets/，/flag/，/robots.txt/，/uploaded_files/

看见flag了，咱们先来尝试访问：

first blood，The 1st flag is : {8734509128730458630012095}

 

看见居然还有robots.txt，咱们访问一下：

整个靶机目录结构都出来了，咱们先尝试访问/admin/跟/admin_area/

，这两个敏感的：

emmmmm......咱们看下一个：

The admin area not work :)

.....这也太假了，果断查看源代码：

成功get第二个flag： {7412574125871236547895214}

顺便好像还获得了用户名跟密码：

username：admin

password：3v1l_H@ck3r

想到靶机主页是一个登录页面，咱们尝试登录：

登录成功发现是一个文件上传页面，先上传一个php的大马：

感受没有一点限制的好吧...

开始找上传的路径，咱们在robots.txt下发现两个关于文件的目录:

使用第二个目录名，成功get大马：

登录大马，最后在靶机的根目录下发现 hint.txt ，里面装的是flag:

成功get第三个flag：{7645110034526579012345670}

而且还有这样一句提示：try to find user technawi password to read the flag.txt file, you can find it in a hidden file ;)

翻译过来是：尝试找到用户technawi 跟密码来读取flag.txt文件，你能够在隐藏文件中找到它；

看来咱们还须要找到用户technawi的密码，

因为咱们用的是大马，方便了许多，因此直接全盘搜索flag.txt：

果真发现了第四个flag，咱们cat查看这个flag:

获得第四个flag为：{7845658974123568974185412}

而且获得用户  technawi  的密码：3vilH@ksor

前面咱们看到该靶机开启了SSH服务，咱们直接使用该帐号密码登录：

 登录成功！咱们用老方法来寻找flag.txt文件

咱们尝试读取这个文件：

成功获得第五个flag : {5473215946785213456975249}

作到这里，咱们尝试提权，搞笑的是，咱们在technawi用户目录下发现了

.sudo_as_admin_successful  文件

这不就说明，根据这个文件的提示，technawi用户能够成功提高到root权限，咱们来尝试：

bingo!!!这样才算所有完成，不过这个靶机比较简单，各位看看就好

-----------------------------------------------------------------------------------------

因为第一个靶机太简单，这里再补充一个：

靶机说明：

难度：

初级

描述：

DERP先生和系统管理员两个臭大叔是谁开始本身的公司，derpnstink。招聘合格的人才而创建的IT景观，他们决定一块儿砍本身的系统，几乎是准备去生活……

说明：

这是一boot2root基于Ubuntu的虚拟机。这是测试在VMware融合和workstation12使用VMware DHCP设置的网络接口。它是设计模型的使用，咱们能够在个人机器一个小因此OSCP实验室一个曲线球，但没有什么太花哨。粘的方法和经典的黑客使用enumerate全部的东西！

例子：（ab0bfd73daaec7912dcdca1ba0ba3d05 FLAG1）。不要浪费时间在decrypting哈希旗有没有价值，由于它比其余的挑战标识符。

你须要得到4个flag

目标探测：

本次攻击机器为kali+parrot+windows10，

kali的IP地址为：192.168.0.106

靶机用VM打开，和攻击机在同一局域网内，

咱们用nmap先来获得靶机的IP地址：

靶机IP地址为：192.168.0.104

咱们用nmap对靶机进行深度探测：

发现靶机开放了21，22，80 端口，而且开放了ftp，ssh，Apache 服务

咱们访问靶机主页：

发现靶机主页一直在加载....咱们用curl来探测这个靶机：

....果真发现了第一个flag: flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)

 咱们直接用dirb对靶机进行目录扫描：

 

爆出了很是多的目录，不过仍是有几个比较敏感的 /php/，/weblog/ ...

另外还发现了/wp-admin....让我想起来wordpress的架构

咱们尝试访问/weblog/ 这个目录：

发现被重定向到 derpnstink.local，所以，咱们在 /etc/hosts文件中添加域名以访问该站点，

这里换用parrot来继续下面操做：

OK!咱们再次访问这个靶机：http://192.168.0.104/weblog/

访问成功，这才有点wordpress的样子，那咱们就不客气了，直接用kali自带的wp-scan来枚举

这个wordpress站点的插件，主题和用户：

Wpscan向咱们展现了插件是可利用的，咱们还发现用户名和密码都是admin。

咱们使用metasploit来利用此漏洞：

成功获取反向shell

为了方便利用，咱们上传大马到 /weblog/uploads/目录下：

 

上传成功，咱们来尝试访问大马：

成功访问！

咱们打开wp-config.php并找到数据库的名称和访问数据库所需的用户：

成功获得帐号：root  密码：mysql   数据库：wordpress

接下来就是登录数据库，忽然想到在用dirb跑目录的时候，有个/php/phpmyadmin 目录，

咱们尝试登录：

登录成功后在 " wp-posts " 这个表中拿到flag2：

flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)

下面咱们要查看另外一个用户名跟密码，咱们找 " wp-users "这个表，发现了用户名跟密码的哈希值：

username : unclestinky   hex(password) :  $P$BW6NTkFvboVVCHU2R9qmNai1WfHSC41

username : admin    hex(password) : $P$BgnU3VLAv.RWd3rdrkfVIuQr6mFvpd/

咱们使用john the ripper破解第一个用户密码的哈希值：

获得密码为：wedgie57 帐号为：stinky

咱们使用获得的帐号密码登录FTP，成功登录并获得了2个文件，

一个是与一个“mrderp”用户对话记录：

翻译：

嘿，我不能登陆到WordPress了。你能调查一下吗？
是啊。你须要密码重置吗？
我想我意外地删除了个人账户
我只须要登陆一次就能够改变
我要收集数据包，这样咱们就能知道到底发生了什么。
这彷佛有点过火，但WTV
开始嗅探器！！！！！
-_-
很好，我想我给你定好了。你尝试登陆吗？
太棒了！
咱们真的是最好的系统管理员团队
我想咱们是…
好吧，我作了更改，随时能够解除个人账户
完成！耶伊

应为stinky使用了嗅探网络流量来找到mrderp的密码，

这好像须要咱们分析流量，这就须要有pcap流量数据包

另外一个为 ssh 的登录密钥：

咱们把密钥复制到本地，而后尝试去登录ssh，尽管给了ssh_key.txt 赋予了777 权限

发现仍是登录被拒绝：

我尝试用 stinky/wedgie57 来直接登录靶机：

登进去在桌面上发现了flag.txt文件，打开后咱们获得了第三个flag:

flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)

咱们在 /Document 目录下终于找到咱们想要的数据流量包：derpissues.pcap

我感受pcap流量数据包只有用wireshark打开分析：

我这里直接拖放到本地来分析，固然也可使用meterpreter的download下载到本地，或者

使用ftp文件传输到本地，

成功获得用户 mrderp 的密码：derpderpderpderpderpderpderp

咱们以mrderp的身份登录，并在 /home/Desktop 目录下发现一个helpdesk.log：

输入命令“sudo -l”：

出现一个关键词：(ALL) /home/mrderp/binaries/derpy*

原本这个目录下面是没有“/binaries/”目录的，发现咱们能够在/home/mrderp/binaries/derpy *

中以root身份运行以derpy开头的文件，如今咱们建立一个bash脚原本生成bash shell并将其保存为derpy.sh

建立文件后，咱们给它读写可执行权限：

下面运行该文件：

提权成功，咱们如今是root权限，咱们抓紧时间寻找最后一个flag:

 成功拿下最后一个flag:

flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)

 

 靶机总结：

1.学会用工具，好比wireshark..来分析数据包，是十分重要的，如今的漏洞前沿是流量网络传输没有

加壳，致使流量数据容易被劫持，学会分析数据包，就能获得敏感信息

2.此靶机我获得了ssh登录的私钥，而且还给私钥txt赋予了777权限。可是仍然登录失败，若是哪位大佬

作出来了，不妨指点小弟

3.多实践本身印象才深，光说不练假把式，靶机所有来自vulnhub，你们能够自行下载