摘要:綜合靶機(jī)滲透靶機(jī)描述難度初學(xué)者中級(jí)說(shuō)明是虛擬機(jī)����,在虛擬箱中工作效果最好。在導(dǎo)入文件之后����,確保在啟動(dòng)之前禁用����。
CTF綜合靶機(jī)滲透
靶機(jī)描述:
SkyDog Con CTF 2016 - Catch Me If You Can
難度:初學(xué)者/中級(jí)
說(shuō)明:CTF是虛擬機(jī)���,在虛擬箱中工作效果最好。下載OVA文件打開(kāi)虛擬框����,然后選擇文件->導(dǎo)入設(shè)備。從下載的地方選擇OVA文件�。在導(dǎo)入OVA文件之后,確保在啟動(dòng)VM之前禁用USB 2��。默認(rèn)情況下����,只為主機(jī)設(shè)置適配器,但在啟動(dòng)之前�,您可以根據(jù)網(wǎng)絡(luò)設(shè)置改變這一點(diǎn)。虛擬機(jī)服務(wù)器配置為DHCP����。如果你有任何問(wèn)題,請(qǐng)?jiān)赥witter上告訴我JAMSBOWER�,我很樂(lè)意幫忙。
Flags
The eight flags are in the form of flag{MD5 Hash} such as flag{1a79a4d60de6718e8e5b326e338ae533
Flag #1 Don’t go Home Frank! There’s a Hex on Your House.
Flag #2 Obscurity or Security?
Flag #3 Be Careful Agent, Frank Has Been Known to Intercept Traffic Our Traffic.
Flag #4 A Good Agent is Hard to Find.
Flag #5 The Devil is in the Details - Or is it Dialogue? Either Way, if it’s Simple, Guessable, or Personal it Goes Against Best Practices
Flag #6 Where in the World is Frank?
Flag #7 Frank Was Caught on Camera Cashing Checks and Yelling - I’m The Fastest Man Alive!
Flag #8 Franks Lost His Mind or Maybe it’s His Memory. He’s Locked Himself Inside the Building. Find the Code to Unlock the Door Before He Gets Himself Killed!
我們可能要得到8個(gè)flag
靶機(jī)滲透:
本次攻擊機(jī)采取的是parrot linux+windows���,靶機(jī)采用的是橋接模式��,
攻擊機(jī)IP為:192.168.0.104
我們用nmap掃出靶機(jī)ip地址:
nmap -sP 192.168.0.0/24
我們探測(cè)出靶機(jī)IP為:192.168.0.109
我們?cè)儆胣map探測(cè)一下靶機(jī)其他信息:
nmap -p 1-65535 -T4 -A 192.168.0.109
發(fā)現(xiàn)開(kāi)放了4個(gè)端口:
22/tcp closed ssh
80/tcp open http
443/tcp open ssl/http
22222/tcp open ssh
同時(shí)發(fā)現(xiàn)在22222端口上開(kāi)放了OpenSSH的服務(wù)
我們?cè)L問(wèn) http://192.168.0.109 靶機(jī)主頁(yè):
查看網(wǎng)頁(yè)源代碼�����,也沒(méi)有什么發(fā)現(xiàn)�����,掃一下目錄:
dirb http://192.168.0.109 /usr/share/wordlists/dirb/big.txt
發(fā)現(xiàn)了一個(gè)返回值為200目錄:/assert/
然后用web漏洞掃描器AWVS對(duì)網(wǎng)站進(jìn)行掃描��,挖掘前����,準(zhǔn)備工作要做好:
掃出的漏洞有點(diǎn)雞肋:
不過(guò)我們對(duì)目錄結(jié)構(gòu)有了大致的了解:
發(fā)現(xiàn)我們用dirb漏掃了一個(gè)/oldIE/目錄
我們?cè)L問(wèn) http://192.168.0.109/oldIE/ :
我們繼續(xù)深入:
發(fā)現(xiàn)了這一串?dāng)?shù)字:
666c61677b37633031333230373061306566373164353432363633653964633166356465657d
我們來(lái)看flag1的提示:
Flag #1 Don’t go Home Frank! There’s a Hex on Your House.
翻譯:弗蘭克,不要回家��!你的房子有hex���。
我們推測(cè)這就是hex過(guò)后的字符串�����,我們嘗試解hex:
果然是flag�,我們成功得到flag1,但flag1的內(nèi)容感覺(jué)像是md5加密��,
我們對(duì)flag1的內(nèi)容嘗試md5解密:
提示是nmap�����,我們已經(jīng)使用nmap來(lái)掃描出靶機(jī)的端口�����,難道flag2要從靶機(jī)的
端口入手�,根據(jù)nmap掃描端口的結(jié)果��,我們發(fā)現(xiàn)在22端口的ssh服務(wù)關(guān)閉����,但
是在22222端口上開(kāi)放了OpenSSH的服務(wù),嘗試連接22222端口:
ssh [email protected] -p 22222
emmm...需要密碼才能連接���,但是我們得到了flag?���。�����。?/p>
Flag{53c82eba31f6d416f331de9162ebe997}
我們順利得到了flag2�,順便md5解密,看一下提示
encrypt....翻譯過(guò)來(lái)就是 加密 的意思
我們看一下題設(shè)flag3的提示:
Flag #3 Be Careful Agent, Frank Has Been Known to Intercept Traffic Our Traffic.
翻譯:小心代理�����,弗蘭克已經(jīng)知道攔截我們的交通����。
emmm...到目前為止,唯一與攔截流量跟加密有關(guān)的就是默認(rèn)站點(diǎn)使用的ssl�����,
HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的��,也就是明文的���,因此使用HTTP協(xié)議傳輸隱私信息
非常不安全�,為了保證這些隱私數(shù)據(jù)能加密傳輸�,于是網(wǎng)景公司設(shè)計(jì)了SSL(Secure So
ckets Layer)協(xié)議用于對(duì)HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密,從而就誕生了HTTPS。簡(jiǎn)單來(lái)
說(shuō)�����,HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸���、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,要比
http協(xié)議安全���。
我們直接訪問(wèn) https://192.168.0.109
發(fā)現(xiàn)證書(shū)不安全�����,導(dǎo)致站點(diǎn)不被信任�����,ssl連接出問(wèn)題��,我們查看證書(shū)內(nèi)容:
意外的發(fā)現(xiàn)了flag3:flag3{f82366a9ddc064585d54e3f78bde3221}
我們依舊md5解密:
personnel...翻譯過(guò)來(lái)就是 人員 的意思��,
我們看一下題設(shè)flag4的提示:
Flag #4 A Good Agent is Hard to Find.
翻譯:一個(gè)好的代理人很難找到�����。
完全與題設(shè)不搭��,感覺(jué)應(yīng)該是目錄����,嘗試訪問(wèn):
http://192.168.0.109/personnel
訪問(wèn)過(guò)后有一句話:
ACCESS DENIED!!! You Do Not Appear To Be Coming From An FBI Workstation. Preparing Interrogation Room 1. Car Batteries Charging....
翻譯:訪問(wèn)被拒絕!?���。?���!你似乎不是來(lái)自FBI工作站。準(zhǔn)備審訊室1�。汽車電池充電…
說(shuō)我們不是來(lái)自FBI工作站的,拒絕訪問(wèn)...但我們有題設(shè)啊�,我們可以找個(gè)代理人去訪問(wèn)啊
題設(shè)中把這個(gè)代理人譯為 Agent ,我聯(lián)想到了 User-Agent ����,是否可以通過(guò)修改User-Agent
來(lái)實(shí)現(xiàn)代理訪問(wèn),因?yàn)閁ser-Agentt是用來(lái)標(biāo)識(shí)用戶的操作系統(tǒng)�、瀏覽器以及其版本信息等...
但是我們?cè)趺磦卧炷兀康侥壳盀橹?�,唯一得到的文件只有ssl的證書(shū)跟 oldIE目錄下的html5.js。
ssl證書(shū)在flag3已經(jīng)分析過(guò)�,沒(méi)有其他不尋常的東西,我們只有分析這個(gè)html5.js��,打開(kāi)一看是
一堆亂七八糟的東西���,但是我們搜索關(guān)鍵字:agent����,F(xiàn)BI :
提示已經(jīng)很明顯了:Adding temporary support for IE4 FBI Workstations
還有一個(gè):[email protected] 像是一個(gè)郵箱��,感覺(jué)應(yīng)該有用�,先放在這里
我們可以偽造IE4的User-Agent信息:
(User-Agent各個(gè)版本參考:https://www.xuebuyuan.com/271...
Mozilla/4.0 (compatible; MSIE 4.0; Windows NT)
成功偽造�,并得到了flag4: flag{14e10d570047667f904261e6d08f520f}
Flags
flag{14e10d570047667f904261e6d08f520f}
Clue = new+flag
還有一個(gè)提示:
Clue = new+flag
我們順便md5解密這個(gè)flag:
evidence...翻譯過(guò)來(lái)就是 證據(jù) 的意思
根據(jù)剛剛flag得到的提示:Clue = new+flag = newevidence
我們看題設(shè)的提示,發(fā)現(xiàn)除了提醒細(xì)心�����,沒(méi)什么卵用��,
有了上次的經(jīng)驗(yàn)��,我們嘗試訪問(wèn)這個(gè) newevidence 目錄:
還是這個(gè)頁(yè)面�����,不過(guò)也證明了,newevidence確實(shí)是一個(gè)目錄���,我們繼續(xù)偽造User-Agent頭���,訪問(wèn)嘗試:
彈出了一個(gè)框,讓輸入用戶名跟密碼...
現(xiàn)在得到的只有上個(gè)flag訪問(wèn) /oldIE/html5.js 時(shí)得到的一個(gè)郵箱: [email protected]
發(fā)現(xiàn)用戶名的構(gòu)成是: 名字.姓氏
再上一個(gè)偽造User-Agent頭獲得flag時(shí)的burp返回包中除了flag����,好像還有個(gè)用戶名:
可以看到有個(gè) :Welcome Agent Hanratty
這個(gè) Agent Hanratty 應(yīng)該是一個(gè)人,遂百度一下:
我們初步可以判斷這個(gè)FBI探員的姓名:Carl.Hanratty
所以用戶名為:carl.hanratty
但是我們不知道密碼...毫無(wú)提示�����,只能霸王硬上弓��,用burp爆破
最后爆破得到密碼為 : Grace
嘗試登陸:
點(diǎn)擊 " Evidence Summary File ",發(fā)現(xiàn)直接跳到 http://192.168.0.109/newevide...
同時(shí)我們也得到了flag5:flag{117c240d49f54096413dd64280399ea9}
當(dāng)我們點(diǎn)擊 " Possible Location "�����,發(fā)現(xiàn)直接跳到 http://192.168.0.109/newevide...
當(dāng)我們點(diǎn)擊 " Case Invoice "�����,發(fā)現(xiàn)直接跳到 http://192.168.0.109/newevide...
我們分別把這個(gè)newevidence.jpg,invoice.pdf下載到本地:
我們把flag5的內(nèi)容md5解密:
panam...翻譯過(guò)來(lái)就是 泛美航空公司 感覺(jué)跟題目沒(méi)有一點(diǎn)關(guān)系��,
推測(cè)可能是目錄�����,或者登錄用戶名或者密碼����,嘗試訪問(wèn)目錄:
發(fā)現(xiàn)不是目錄
我們看一下題設(shè)flag6的提示:
Flag #6 Where in the World is Frank?
翻譯:弗蘭克到底在哪兒?
emmm...現(xiàn)在我們唯一可以利用的就是上個(gè)flag獲得的newevidence.jpg跟Invoice.pdf
我們先查看這個(gè)Invoice.pdf:
我認(rèn)為有價(jià)值的線索都已經(jīng)標(biāo)出來(lái)�����。
中間那段話的翻譯:
親愛(ài)的 Agent Amdursky,
請(qǐng)?jiān)谙旅嬲业揭粋€(gè)最近完成工作的成本分解���。請(qǐng)盡早付款,并隨時(shí)聯(lián)系我����。
多謝,Stefan Hetzl
Google搜索一下這個(gè) " Stefan Hetzl ":
搜索結(jié)果:http://steghide.sourceforge.n...
發(fā)現(xiàn)Stefan Hetzl是Steghide的作者�����。Steghide是一個(gè)非常棒的使用隱寫(xiě)術(shù)的工具
能夠隱藏各種圖像和音頻文件中的數(shù)據(jù),我們似乎還有一張圖片 newevidence.jpg 沒(méi)利用���,
我們利用parrot linux自帶的Steghide工具來(lái)剖析這張圖片:
(steghide命令詳解:https://blog.csdn.net/Jeanpho...)
steghide --info newevidence.jpg
還要密碼?���。�。∥抑苯泳拖氲搅松弦粋€(gè)flag md5解密后的結(jié)果 panam:
果然里面隱藏了flag���,我們把flag.txt提取出來(lái):
steghide extract -sf newevidence.jpg -p panam
成功獲得flag6:flag{d1e5146b171928731385eb7ea38c37b8}
md5直接解密:
發(fā)現(xiàn)題目已經(jīng)解出來(lái)了 ILoveFrance
還有其他的提示:clue = iheartbrenda
猜想是不是目錄:
....那估計(jì)是用戶名或者密碼
看一下題設(shè)flag7給的提示:
Flag #7 Frank Was Caught on Camera Cashing Checks and Yelling - I’m The Fastest Man Alive!
翻譯:弗蘭克被攝像機(jī)拍到����,大喊大叫���,我是活著的最快的人���!
這是一個(gè)奇怪的提示,弗蘭克為什么大喊 "我是活著最快的人!"����?
Google了這句話 I’m The Fastest Man Alive!
這是閃電俠說(shuō)的一句話!?���?�!
原話是:my name is Barry Allen and i am the fastest man alive
when i was a child , i saw my mother killed by something impossible
這里有個(gè)姓名 :Barry Allen
推測(cè)用戶名為:barryallen
密碼的話我想起來(lái)上一個(gè)flag留下來(lái)了一個(gè)線索 iheartbrenda
推測(cè)密碼為: iheartbrenda
有用戶名跟密碼就得有登陸的地方�,我們開(kāi)始時(shí)用nmap發(fā)現(xiàn)開(kāi)了4個(gè)端口��,
我們?cè)?jīng)登陸過(guò)22222端口�,好像有個(gè)輸入密碼的地方,我們用barryallen用戶
連接22222端口:
ssh [email protected] -p 22222
我們輸入密碼: iheartbrenda
我們成功得到flag7:flag{bd2f6a1d5242c962a05619c56fa47ba6}
我們md5解密flag7:
同時(shí)發(fā)現(xiàn)目錄下面除了flag.txt�,還有 security-system.data 的文件,
我們將這個(gè)文件下載到本地:
我們先用parrot linux自帶的binwalk工具分析一下這個(gè)文件:
binwalk security-system.data
發(fā)現(xiàn)是一個(gè)zip文件����,看不出來(lái)啊,才開(kāi)始還以為是data文件...
我們要想把zip解壓出來(lái)���,首先要把它變成zip文件:
mv security-system.data security-system.data.zip
然后使用unzip命令來(lái)解壓這個(gè)zip文件:
unzip security-system.data.zip
現(xiàn)在security-system.data顯示為簡(jiǎn)單的數(shù)據(jù)�����。在文件上運(yùn)行字符串我看到很多
內(nèi)存提到,所以我在想它是一臺(tái)機(jī)器的內(nèi)存映像�。
接下來(lái)使用Volatility來(lái)進(jìn)行電子取證:
(Volatility介紹及用法:
https://www.anquanke.com/post...
https://blog.csdn.net/kevinha...
https://tools.kali.org/forens...
首先查看一下文件信息:
volatility -f security-system.data iamgeinfo
我們直接用notepad查看當(dāng)前顯示過(guò)得筆記本內(nèi)容:
volatility -f security-system.data --profile=WinXPSP2x86 notepad
發(fā)現(xiàn)有Test有一行內(nèi)容:
666c61677b38343164643364623239623066626264383963376235626537363863646338317d
明顯是hex過(guò)后的,我們直接解碼:
得到了最后一個(gè)flag8:flag{841dd3db29b0fbbd89c7b5be768cdc81}
md5解密:
兩只小老鼠...hahaha
