靶场64Base_3mrgnc3的解题过程及个人心路历程

正值春节，遇到了新型冠状病毒，整个人都不好了，在家里都快憋疯了，于是乎开始做靶场打发时间，顺便死一波脑细胞

————————————————————废话分割线————————————————————————————

首先打开靶场看到的一幕

靶场就长这个样子，没有密码 没有办法登录 这个靶场有6个flag

然后打开我的kali 将靶机和kali放到同一个网段 仅主机模式

使用命令查看到kali的ip地址为192.168.187.129

靶机的ip地址为192.168.187.130

确认存在同一网段后就开始扫吧

这时候发现靶机存在四个端口 同时22号端口可能就不是ssh 只是一个混淆的障眼法

访问主页192.168.187.130:80

这么显眼的一串字符出现在了视线中 拿去base64解码

让看源码 那就看咯

源码里面出现一串神秘代码 仿佛带着魔力

这串数字像十六进制的加密 

拿去解密发现又是base64

再次解密

拿到flag1 

对flag1进行解码

得到一个用户名和密码

暂时不知道有什么用

于是再次看网页

发现有一个可以提交的页面

 

使用burp抓包

然而没有一点用

视线重回网页 估计遗漏了很多重要线索 发现这个网站是关于原力的

并且发现了一个图片 下面还有一行话 

Only respond if you are a real Imperial-Class BountyHunter

不是很懂 但是这么小 可能会有用  还有上面的特意加黄的 估计也是有用的

但是现在没有上面思路了 就用bp进行了一次爬取 看能不能有什么意外收获

发现存在两个高危 这个路径和上面的那句话对应

Only respond if you are a real Imperial-Class BountyHunter

于是进入这个界面http://192.168.187.130/Imperial-Class/

发现error不对 再看这句话 后面还有一个单词

于是在后面加上了那个单词 进入http://192.168.187.130/Imperial-Class/BountyHunter

发现了登录的地方  将刚才的用户名和密码登陆进去

64base:Th353@r3N0TdaDr01DzU@reL00K1ing4

发现没有上面反应  看源码

出现了两个id 以及下面一串的神秘数字

把三串数字链接起来

然后十六进制解码 在base64解码

得到flag2

 flag2{aHR0cHM6Ly93d3cueW91dHViZS5jb20vd2F0Y2g/dj12Snd5dEZXQTh1QQo=}

解码是一个视频

打开login.php

没有发现上面有什么不同
但是账号和密码应该是没错的啊

放进burp里面重放一下

拿到flag

对flag进行解码

53cr3t5h377/Imperial-Class/BountyHunter/login.php?f=exec&c=id

类似于一个webshell   但是进去之后发现没有什么特别的

这张图再次派上用场  使用system替代exec

构造一下http://192.168.187.130//Imperial-Class/BountyHunter/login.php?f=system&c=id

发现了flag 

对flag进行解密

64base:64base5h377

用户名和密码都有了 

在哪里用呢

想到了ssh 但是22号端口不能用 就试着连接其他端口

在62964号端口上发现是ssh

ssh 64base@192.168.197.130 -p 62964

输入密码发现不对 怎么都输入不正确

看到了用户名64base 密码不会是base64加密过的吧

加密一下重新输入 完美！！！！进去了  真的是日了狗

进去之后更完美

很多命令不能用    没办法啊 要提权啊     echo $PATH查看一下

64base@64base:~$ echo $PATH/*
 /var/alt-bin/awk /var/alt-bin/base64 /var/alt-bin/cat /var/alt-bin/droids /var/alt-bin/egrep /var/alt-bin/env /var/alt-bin/fgrep /var/alt-bin/file /var/alt-bin/find /var/alt-bin/grep /var/alt-bin/head /var/alt-bin/less /var/alt-bin/ls /var/alt-bin/more /var/alt-bin/perl /var/alt-bin/python /var/alt-bin/ruby /var/alt-bin/tail

发现了一个奇怪的   /var/alt-bin/droids  输入了一下命令

一阵代码雨 

然后就可以输入命令了  赶快找我们的flag啊

使用find命令 找到了flag5

查看一下

/var/www/html/admin/S3cR37/flag5{TG9vayBJbnNpZGUhIDpECg==}

发现了flag5  对其解码

Look Inside! :D

 好像没有什么用

去查看一下flag5的文件类型 file flag5

发现是一张照片 同时出现一串神秘代码 一串十六进制数字

使用strings命令查看所有的字符

strings /var/www/html/admin/S3cR37/flag5{TG9vayBJbnNpZGUhIDpECg==}

发现了完整的神秘代码 将这段神秘代码 给拷贝下来解密 再次出现一串什么代码

头大

这时候就没有什么思路 就开始揪头发 一揪一把

好像没办法了   我现在是64base 这个用户  我要提权啊

我要变成root啊 想过要不要下载一个提权马 但是好像太麻烦

就去查一下这个代码的相关知识 感觉像是ssh的公钥

将这串代码base64加密后假如文件里面  ssh.key

使用公钥进行登录

ssh root@192.168.187.130 -p 62964 -i /tmp/ssh.key

但是还是需要密码 

现在也看不到密码 把刚才的照片给下载到本地 就可以看到里面有什么了

Linux scp 命令用于 Linux 之间复制文件和目录。

scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令

scp -P 62964 64base@192.168.187.130:/var/www/html/admin/S3cR37/flag5* flag5.jpeg

照片就这个  密码应该就是这个 usetheforce

登录root的密码  bingo！！！ 进去了

然后得到flag6

 flag6{NGU1NDZiMzI1YTQ0NTEzMjRlMzI0NTMxNTk1NDU1MzA0ZTU0NmI3YTRkNDQ1MTM1NGU0NDRkN2E0ZDU0NWE2OTRlNDQ2YjMwNGQ3YTRkMzU0ZDdhNDkzMTRmNTQ1NTM0NGU0NDZiMzM0ZTZhNTk3OTRlNDQ2MzdhNGY1NDVhNjg0ZTU0NmIzMTRlN2E2MzMzNGU3YTU5MzA1OTdhNWE2YjRlN2E2NzdhNGQ1NDU5Nzg0ZDdhNDkzMTRlNmE0ZDM0NGU2YTQ5MzA0ZTdhNTUzMjRlMzI0NTMyNGQ3YTYzMzU0ZDdhNTUzMzRmNTQ1NjY4NGU1NDYzMzA0ZTZhNjM3YTRlNDQ0ZDMyNGU3YTRlNmI0ZDMyNTE3NzU5NTE2ZjNkMGEK}

对flag6进行解密

 base64 -d /var/local/.luke|less.real

再次使用base64登录  输入命令

出现了作者的话

靶场通关

这一路上啊 真的难受 很久没有做靶场了 很多命令都忘记了 一边查资料一边做靶场 现在是晚上23:14分

坚持写博客 这两天还是要多复习一下之前学过的知识

希望大家2020身体健康 多长头发

在这里放上靶场

有兴趣可以自己做一下

复制这段内容后打开百度网盘手机App，操作更方便哦
链接：https://pan.baidu.com/s/1XgWgyR-mqIpCWM4lUkF0hA 提取码：S3m6