1.Crocodile
获取靶机IP并测试连通性
第一题:哪个nmap扫描开关在扫描过程中使用默认脚本?
答案:-sC
第二题:在端口21上运行的服务版本是什么?
答案: vsftpd 3.0.3
第三题:“允许匿名FTP登录”消息返回给我们的FTP代码是什么?
答案:230
第四题:我们可以使用什么命令来下载我们在FTP服务器上找到的文件?
答案:get
第五题:在我们检索到的列表中,听起来有更高权限的用户名是什么?
答案:admin
第六题:目标主机上运行的是什么版本的Apache HTTP服务器?
答案: 2.4.41
第七题:一个方便的网站分析插件的名字是什么,我们可以安装在我们的浏览器?
答案: Wappalyzer
第八题: 我们可以使用什么开关与gobuster来指定我们正在寻找特定的文件类型?
答案:-x
第九题:我们找到了什么文件能让我们找到目标?
答案: login.php
使用目录扫描工具发现login.php
第十题:提交flag
由于使用nmap扫描的时候发现靶机开放的服务,所以可以使用ftp和匿名账号来登录,找到有账号和密码的文件,使用get命令下载两个文件
由于目录扫描的时候发现到登录页面,所以使用我们获取到的账号为admin的密码去登录,成功获取flag。
2.Respoder
先获取靶机IP并且测试连通性
第一题:机器上开放了多少TCP端口?
答案:3
第二题: 当使用IP地址访问web服务时,我们被重定向到的域是什么?
答案:unika.htb
第三题:在服务器上使用哪种脚本语言来生成网页?
答案:php
可以使用nmap来扫描输出其开放端口服务的详细信息
也可以使用burpsite来抓包转发也可以得到该题答案
还可以使用插件来检测,前面扫描到靶机开放了三个端口。
访问80端口时出现重定向转向了另一个页面且无法访问。
访问5985端口时出现404,但通过插件可以检测到相关指纹信息。
访问7680端口没有出现重定向,也无法连接,因为扫描的时候就发现该端口会被过滤掉。
由于80端口有重定向,所以修改/etc/hosts来解析其域名,添加IP地址和重定向跳转的域名,从而可以成功显示网站页面信息。
第四题:用来加载不同语言版本的网页的URL参数的名称是什么?
答案:page
查看网站页面栏有一个EN点击切换可以从url处得到该题答案
第五题:“page”参数的以下哪个值是利用本地文件包含(LFI)漏洞的一个例子:“french.html”, "french.html", "//10.10.14.6/somefile", "../../../../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe"
答案:../../../../../../../../windows/system32/drivers/etc/hosts
测试修改page后面参数发现存在文件包含漏洞
第六题:“page”参数的以下哪个值是利用远程文件包含(RFI)漏洞的一个例子: "french.html", "//10.10.14.6/somefile", "../../../../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe"
答案://10.10.14.6/somefile
第七题:NTLM的全称是什么?
答案: New Technology Lan Manager
第八题:我们在Responder实用程序中使用哪个标志来指定网络接口?
答案:-I
第九题:有一些工具可以使用NetNTLMv2查询/响应并尝试数百万个密码,以查看是否有任何一个密码产生相同的响应。其中一个工具通常被称为“john”,但它的全名是什么?
答案: john the ripper
第十题:管理员的密码是什么?
答案:badminton
使用responder来监听指定网卡,可以看到监听的网卡的信息
然后新建一个标签,通过指定的那个网卡IP地址来远程访问文件,显示拒绝访问,但是监听的地方则会抓取到hash
切换到responder文件下,使用./DumpHash.py来导出抓取到的hash,然后使用john来破解hash得到密码。
第十一题:我们将使用Windows服务(即在机器上运行)使用我们恢复的密码远程访问Responder机器。它监听的TCP端口是什么?
答案:5985
第十二题:提交flag
这里掉线了,重新获取一个靶机IP。
因为已经有账号密码,所以使用远程工具来拿到shell,在目录里找到flag.txt,打开获取并成功提交flag。