vulnhub-d0not5top靶机渗透流程

本次靶机渗透流程参考已有wp：https://www.hackingarticles.in/hack-d0not5top-vm-ctf-challenge/

---

靶机概述

靶机地址：https://www.vulnhub.com/entry/d0not5top-12,191/

一共七个flag

---

一、前期扫描

确认靶机ip与开启服务、端口

---

二、网站扫描

开启了80端口，先扫下网站目录

东西真不少，先看看robots.txt和dirs.txt

在这俩文件中发现了更多路径，看robots.txt的提示似乎要修改USER-AGENT

访问后发现只有control下有东西，貌似是个dashboard

在该页面源码中发现第一个flag：FL46_1:urh8fu3i039rfoy254sx2xtrs5wc6767w，以及一段可疑的信息

信息中提到了D0Not5topMe.ctf，看上去就像个域名，结合页面的dns和扫描到53端口，大概率需要绑定域名

不过在那之前，这里还有个藏得很深的flag2，根据源码的跳转链接可以知道该路径下还存在js、css等子路径

访问/control/js，可以发现一个信息中提到的字眼MadBro的文件

点进去会看到加密后的flag

这个flag的数字部分经过了二进制编码，解密后得到第二个flag：FL46_2:39331r42q2svdfsxk9i13ry4f2srtr98h2，这里解密需要注意换行后按新的部分进行单独解码

README.MadBro页面中再次强调了D0Not5topMe.ctf，很明显，我们下一步要进行域名绑定，但我们这里先按照flag的顺序进行，而flag3与之前扫描到的25端口的smtp服务有关

---

三、smtp信息泄露

nc去连接25端口，返回了一串16进制加密的数据

xdd解密后获得第三个flag：FL46_3:29dryf67uheht2r1dd4qppuey474svxya

---

四、D0Not5topMe.ctf域名信息搜集

先进行域名绑定，再访问D0Not5topMe.ctf域名

这里不知道为啥我的真实机死活访问不上这个域名，换了几个浏览器都不行。我试了下kali的才成功访问到

通过页面底部信息可以知道是phpBB站，尝试了大量已知漏洞进行验证均不成功。没办法，只能慢慢从源码中找信息

在点击了注册跳转到注册须知页面后，我在源码发现了一个可疑的路径FLaR6yF1nD3rZ_html

访问该路径就能看到熟悉的brainfuck加密

解密后得到第四个flag：FL46_4:n02bv1rx5se4560984eedchjs72hsusu9

回到注册页面，点击接受协议跳转到信息填写页面，在下方一个高亮的超链接可以看到一个邮箱地址mailto:Megusta@G4M35.ctf

其中邮箱地址的后半部分G4M35.ctf与域名很相似，猜测是新的需要挖掘的域名

至此D0Not5topMe.ctf域名探索完毕，这个部分可能看上去很难找到线索，但后续查看相关wp发现其实是有给出提示的，只不过英语水平太差没办法解读

可以看到主页这里有一条信息，摘抄如下：
Worka Suko Gameo Di Besto
emay ayingplay uchmay amesgay ownay egistrarioray arnay edsay emay emailway ayay egustomay otay indfay away eomay ideyhohay

这其实是一种Pig Latin，即英语中的儿童黑话，根据wp中给出的翻译，其英文原意为me playing much games now registrario rna sed me wemail a megusto to find wa meo hideyho

其中提到的registrario（注册）与wemail（邮件）正是这个域名下的flag所在和通往下一个域名的线索

---

五、G4M35.ctf域名信息搜集

先按照惯例把域名进行绑定

然后看看这个域名网站长什么样，是个3D的躲避障碍类游戏

虚拟机里玩卡得要死，还是专心找找线索吧，网页源码中发现应该是游戏主程序的game.js路径

在game.js中发现可疑路径/H3x6L64m3

访问，又是个游戏，这次是看上去应该是个类雷电的弹幕游戏？

这里我重新看了下真实机的hosts文件，准备加G4M35.ctf域名试试能不能正常访问，结果发现原来上个域名绑定后访问不到是因为把192.168.7.164输成了192168.7.164，给我自己都逗笑了

改好后访问http://g4m35.ctf/H3x6L64m3/，发现没法正常开始游戏，还是得看源码

源码中发现了两个重要线索，一个提示我们追踪texture，另一个则是游戏主文件Gameplay.js的路径

猜想texture是路径，试试访问

没有？加个s呢

这里面一堆图片，感觉这游戏应该是能玩的，可能没加载出来
在某个素材图片中发现一段八进制加密信息:106 114 64 66 137 65 72 60 71 153 70 67 150 66 147 64 145 62 65 147 150 64 64 167 141 61 162 171 142 171 146 151 70 71 70 150 156 143 144 164

cyberchef解密后得到第五个flag：FL46_5:09k87h6g4e25gh44wa1rybyfi898hncdt

接着来看看游戏主文件，我已经发现了域名的规则都是.ctf结尾，果不其然发现第三个域名t3rm1n4l.ctf

---

六、t3rmln4l.ctf域名信息搜集

绑定域名后访问，是个网页的终端界面

提示需要密码进行认证，尝试了下发现域名t3rmln4l.ctf即是认证密码

认证通过后发现很多命令不可用，且执行一次非法命令后需要重新认证

一个个测试太麻烦。用burp抓包后对command进行模糊测试

根据结果可以看到uname、id、pwd和grep命令可使用

那试试grep能看到什么，输入grep *，发现新域名M36u574.ctf

---

七、M36u574.ctf域名信息搜集

这是我绑的域名最多的一个靶机了

进去之后是一堆精污鬼图的循环播放

选取页面元素可以看到鬼图的存放路径在images下

不过我们没办法直接访问到images文件夹一览图片

返回首页一张张看元素，发现个名字不太一样的，其他的图片名格式都是megusta00x.jpg，这张却叫kingmegusta.jpg

直接去images下找到并下下来

file命令看下这个图片的信息，发现一串base64密文

解密后得到一个类似/etc/shadow的linux用户密码的加密组

用john破解得到MeGustaKing:**********的组合，此处指定rockyou字典会快很多

---

八、MeGustaKing用户信息搜集

ssh登入MeGustaKing用户

登进去无法执行任何命令就把我踢出来了，不过给了些信息，其中有段base64密文，破解一次后去掉前后的乱码部分再进行一次base64解密得到第六个flag：FL46_6:pqpd2jfn4ruq1obyv3thw848te67tejey

再回过去看之前给的信息，发现提供了另一个用户名burtieo

用hydra对burtieo用户进行爆破

得到密码Lets you update your FunNotes and more!，幽默的是其实这个密码在登录信息里也有，但我实在不觉得有多少人能一下子想到这么长一段话是密码

---

九、rbash逃逸

登录burtieo用户，输入命令发现是在rbash环境

rbash环境会限制我们使用的命令，有很多种逃逸方法，这里我是利用bash_cmds自定义shell导出到环境变量来完成逃逸的

BASH_CMDS[a]=/bin/sh;a 
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

---

十、sudo命令导致的高危端口漏洞利用

sudo -l看看，发现NOPASSWD命令/usr/bin/wmstrt

因为没有stings命令看不出调用了什么其他命令或者库，直接sudo运行下试试

该命令执行后会显示将会有20秒的时间，接着开始倒数，归零后显示一段话，大意为你抓住机会了吗

这里我思考了好一会儿，20s的时间限制会是什么，答案是端口/服务的开启时间，这个命令很可能是开启某个端口20秒钟，因此后台准备好nmap后sudo执行命令，在显示提示信息后立刻开始扫描

果然多出了一个端口，10000，这个端口一般是webmin服务，msf中有相关的漏洞利用

这里用远程文件读取的利用脚本，设定好参数后再次sudo执行命令，在出现提示信息后立刻执行脚本

失败了，查看报错应该是要开启ssl参数，重新设置后再来一遍

成功读取到/etc/passwd，那接下来试试能不能读到/etc/shadow和/root/.ssh/id_rsa

两次尝试都成功了！那这里我们可以选择john破解root密码或者john破解id_rsa密码，我这里选择了更快的破解id_rsa文件

---

十一、root可执行文件的信息泄露利用

使用id_rsa和认证码gustateamo登录，这里一开始没成功，新建config文件后添加接受以 ssh-rsa 格式签名的公钥进行身份验证的配置后成功登录

发现FL461N51D3文件，但是二进制可执行文件，且没有strings命令可以查看

直接运行FL461N51D3文件提示错误密钥，还有个000权限的perl文件L45T_fl46.pl可以查看下

看了下，大致是一个类似反弹shell的连接命令，会将验证后FL461N51D3文件的输出显示到连接端

那nc监听端口后运行该命令指定ip与端口，即可获得最后的第七个flag：FL46_7:9tjt86evvcywuuf774hr88eui3nus8dlk