一、环境准备
kali和靶机,两台主机能互相ping通
二、主机发现
1.扫描该网段发现靶机,kali地址192.168.19.150
nmap -sP 192.168.19.0/24
2.发现靶机扫描靶机开放了哪些端口
nmap -sV 192.168.19.153
三、获得flag
1.第一关提示为
从扫描结果可知,开放了22、80、443、22222端口,首先从80端口入手,打开网站首先就F12大法,发现一个奇怪的东西,是一个js文件,我们访问这个js文件
发现是一串16进制编码,百度解密即得第一个flag,flag{7c0132070a0ef71d542663e9dc1f5dee}然后进行md5解密,为一下关提供线索为nmap
2.第二关提示为
由于前期扫过了就可以直接用。发现22端口关闭,尝试从22222端口进行ssh连接ssh 192.168.19.153 -p 22222,提示是否信任该主机,输入yes,然后出第二个flag
Flag{53c82eba31f6d416f331de9162ebe997} ,然后进行md5解密,为一下关提供线索为encrypt
3.第三关提示为
根据上一关解密的内容和提示,通过https访问该网站,查看证书获得第三个flag值
flag3{f82366a9ddc064585d54e3f78bde3221}然后进行md5解密,为一下关提供线索为personnel
4.第四关提示为
由第三关解出来的线索和提示访问personnel目录,翻译过来就是说不是这个用户无法访问,那么此时想到user-agent,那怎么去找呢,回过头我们发现第一关的js文件里面一大串,估计有fbi的user-agent
搜索一看果然有,可以看出,要想访问FBI的站点,必须使用IE4这个代理(中间人)
此时通过burp抓包,修改user-agent为ie4的代理Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)
即可获得第四个flag,flag{14e10d570047667f904261e6d08f520f},md5解密为envidence
5.提示为
根据题目提示和线索,Clue(线索)=new+flag=newevidence(evidence是Flag4的值),这个单词与personnel一样,没有特别意义,猜测很有可能是一个目录,发现还是同上一关一样,依然使用上一关的方法
然后弹出一个身份认证
现在关键是找用户名,根据对话框提示,只能FBI里的人才可以访问,那我们知道FBI探员卡尔的全名是Carl.Hanratty,一般用户名都小写,猜测最终用户名应该是carl.hanratty,那密码怎么猜呢,只能用密码爆破。
抓包,然后发送到intruder模块爆破
得到了用户名和密码,用户名:carl.hanratty 密码:Grace,尝试登录
点开第一个超链接,修改user-agent,发现了第五关Flag
flag{117c240d49f54096413dd64280399ea9},md5解密为第六关线索panam
6.根据线索和提示,打开第二个链接,看到是一张图片,考虑是图片隐写,把图片下载下来,使用steghide来解出
steghide info image.jpg发现需要密码,想到上一关的线索panam,成功解出
把捆绑的flag.txt文件输出出来用如下命令:steghide extract -sf image.jpg
解出第六个flag,flag{d1e5146b171928731385eb7ea38c37b8}
7.第七关提示,线索为ILoveFrance
为什么弗兰克为会对着取款机的摄像头大喊:“我是飞人”!!这是一个很奇怪的线索,用社工手段在baidu上搜索了一下这句话 “I’m The Fastest Man Alive!”?
这个barry.allen我们联想到了应该是用户名,用户名应该类似barry.allen和barryallen这种方式,根据Flag6中给出的Flag的值和一个线索值,联想到这两个值可能是密码;基于用户名和密码互相匹配比较麻烦,我们可以写一个用户名的字典和一个密码的字典,用hydra进行爆破!但这个用户名和密码用在哪个服务上呢?在nmap扫描端口的时候发现有个ssh的22222端口,于是我们就可用hydra进行ssh爆破
hydra -L username.txt -P password.txt -s 22222 192.168.19.153 ssh
爆破成功后,使用账号和密码登陆,成功登陆
根目录下有flag.txt,即得第七关falg,flag{bd2f6a1d5242c962a05619c56fa47ba6},md5解密为theflash
8.提示为
这个描述里有一个Memory,是内存的意思,我们联想到内存分析这个工具;同时联想到被分析的文件应该会很大,而且根据描述的提示,Flag(就是描述中的密码)肯定是被绑定(Locked)在这个大文件里。
根据Flag7中的线索,当用我们用ssh成功登录22222端口后,看见一个71M的文件(估计可能是一个系统备份文件)
把这个文件scp到本地(kali系统中),以便作进一步分析
scp -P 22222 barryallen@192.168.19.153:/home/barryallen/security-system.data /root/Desktop/
查看一下security-system.data文件的真实类型
既然是zip文件,则可以把扩展名data改为zip,以方便用unzip命令进行解压缩
据题目中的描述的提示有个Memory,联想到对这个文件使用内存取证分析工具Volatility,先使用imageinfo插件分析文件中的profile值,然后根据profile的值,再结合Cmdscan插件分析出在内存中的使用的命令。
volatility imageinfo -f security-system.data
用profile的值结合cmdscan插件分析内存里驻留的命令
volatility --profile=WinXPSP2x86 -f security-system.data cmdscan
echo 66 6c 61 67 7b 38 34 31 64 64 33 64 62 32 39 62 30 66 62 62 64 38 39 63 37 62 35 62 65 37 36 38 63 64 63 38 31 7d |sed ‘s/ //g’
然后md5解密,即可得到最后一个flag,flag{841dd3db29b0fbbd89c7b5be768cdc81}
burp解密
四、总结
渗透思路很常规,靶机整体难度也不大,只是其中有几个坑点,一个是在访问的时候必须要用IE4浏览器,最方便的办法就是在burp中修改,第二个是拿到security-system.data这个数据包不知道该怎么找到flag,不得不说volatility这个工具真的太强大,成功帮我找到了最后的flag。
2457
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
