關(guān)于USV-CTF的介紹以及下載地址如下:https://www.vulnhub.com/entry/usv-2016-v101,175/
Difficulty: Beginner/Intermediate
Instructions: The CTF is a virtual machine and has been tested in Virtual Box. It has all required drivers if you want it to run on VMware or KVM (virtio). The network interface of the virtual machine will take it`s IP settings from DHCP.
Flags: There are 7 flags that should be discovered in form of: Country_name Flag: [md5 hash]. In CTF platform of the CTF-USV competition there was a hint available for each flag, but accessing it would imply a penalty. If you need any of those hints to solve the challenge, send me a message on Twitter @gusu_oana and I will be glad to help.
下載完ova之后在VMware中打開(kāi),看到登陸界面出現(xiàn)Success就說(shuō)明是成功的凸克。
按照慣例先用nmap掃描端口:
開(kāi)了幾百個(gè)端口究流,我們先從熟悉的地方入手吧。分析一下:
22端口SSH搏色,80端口HTTP,3129端口Squid(正常應(yīng)該是3128)券册,3306端口Mysql频轿。
10000以上的端口應(yīng)該都是做了端口欺騙的垂涯。21211端口vsFTP。
我們看到80端口是開(kāi)放的航邢,嘗試訪問(wèn):
403耕赘。查看網(wǎng)頁(yè)源代碼沒(méi)發(fā)現(xiàn)什么特別的,用Burp抓包:
在Response看到一串很奇怪的很像Base64的字符串膳殷。把這串字符串進(jìn)行Base64解碼得到:
【Flag1】Croatia Flag: 0c326784214398aeb75044e9cd4c0ebb
接下來(lái)看到SSH端口打開(kāi)了操骡,嘗試練一下,發(fā)現(xiàn)了登陸的banner:
下面有個(gè)字符串:
wDOW0gW/QssEtq5Y3nHX4XlbH/Dnz27qHFhHVpMulJSyDCvex++YCd42tx7HKGgB
在這條龍上還有幾個(gè)字母:A E S E C B
尾巴上有一串xxxxx0000000xxxxxx
我們可以聯(lián)想到AES的ECB加密方式赚窃,對(duì)這個(gè)字符串進(jìn)行解密册招,密鑰是xxxxx0000000xxxxxx:
【Flag2】Italy Flag: 0047449b33fbae830d833721edaef6f1
接下來(lái)看3129端口對(duì)應(yīng)的Squid。網(wǎng)站直接打開(kāi)403勒极,如果使用代理訪問(wèn)呢是掰?使用FoxyProxy插件做個(gè)代理:
然后重新訪問(wèn)網(wǎng)站:可以看到出來(lái)東西了:
使用nkito對(duì)網(wǎng)站進(jìn)行掃描,也可以使用AWVS進(jìn)行掃描:
nikto -host 192.168.235.131 -useproxy 192.168.235.131:3129
可以看到有個(gè)blog的目錄辱匿,訪問(wèn)是一個(gè)博客:
看到blog下面有個(gè)hodor的文件夾键痛,訪問(wèn):
點(diǎn)一下message,發(fā)現(xiàn)有個(gè)zip文件下載匾七,解壓是一個(gè)hodor文件絮短。不知道是什么類(lèi)型。一個(gè)辦法是使用Ultraedit打開(kāi)昨忆,看到Hex是FFD8推測(cè)是jpg文件丁频,或者是扔到Kali里面用file指令查看文件類(lèi)型:
修改文件后綴名為.jpg,打開(kāi)圖片:
慣例Base64解碼:
【Flag3】Portugal Flag: a2663b23045de56c7u96a406429f733f
在博客的最下方有篇文章要密碼:
沒(méi)什么線(xiàn)索扔嵌,想辦法進(jìn)行爆破限府。我們使用CEWL根據(jù)網(wǎng)站生成一個(gè)字典:
cewl -w 1.txt -m 5 192.168.235.131/blog --proxy_port 3129 --proxy_host 192.168.235.131
生成字典之后就可以用Burp爆破了。這里掛上代理:
這里選上:
然后開(kāi)始爆破:
爆破出來(lái)的密碼是Westerosi痢缎。
【Flag4】Paraguay Flag: 4761b65f20053674657c7e6186628a29
這里還有幾個(gè)關(guān)鍵信息:
The mother_of_dragons has a password which is in front of your eyes
She uses the Field Training Preparation for her army.
從第二句話(huà)我們可以猜測(cè)是有個(gè)FTP服務(wù)可以進(jìn)去胁勺,第一句話(huà)猜測(cè)用戶(hù)名是mother_of_dragons,密碼是in front of your eyes独旷。
之前我們看到FTP的端口是21211署穗。
我們把兩個(gè)文件下載了,打開(kāi):
從note.txt中我們可以獲取到嵌洼,博客密碼就是她的兒子名字案疲。查了一下名字應(yīng)該是Drogon,Viserion,Rhaegal,于是嘗試用名字進(jìn)行組合麻养,最后得出密碼是RhaegalDrogonViserion褐啡。
這個(gè)博客是WordPress(http://192.168.235.131/blog/wp-admin/),用戶(hù)名是mother_of_dragons鳖昌,密碼RhaegalDrogonViserion备畦。
進(jìn)來(lái)之后就各種翻低飒,終于翻到了:
【Flag5】Thailand Flag: 6ad7965d1e05ca98b3efc76dbf9fd733
進(jìn)來(lái)后臺(tái)之后就考慮提權(quán)。將index.php的內(nèi)容替換成php-reverse-shell(下載地址http://pentestmonkey.net/tools/web-shells/php-reverse-shell)懂盐。注意修改ip和端口褥赊。
保存后進(jìn)行nc反彈:
查看目錄,看到一個(gè)srv的不常見(jiàn)目錄莉恼,進(jìn)去之后就看到在http目錄下有個(gè)reward_flag.txt拌喉,打開(kāi):
【Flag6】Mongolia Flag: 6b49c13cccd91940f09d79e142108394
還有一個(gè)可執(zhí)行的winterfell_messenger。
用strings看下:
執(zhí)行這個(gè)文件:
也就是說(shuō)這個(gè)執(zhí)行文件會(huì)讀取root/message.txt俐银。
先繞過(guò)cat這個(gè)語(yǔ)句看接下來(lái)會(huì)做什么尿背。
在linux中cat所在的路徑是/usr/bin,環(huán)境變量的路徑是:
我們制造一個(gè)假的cat命令:
輸入id:
可以看到現(xiàn)在是以root的權(quán)限在執(zhí)行捶惜,這是一個(gè)提權(quán)工具残家。
在root目錄下ls-al可以看到一個(gè).flag.txt文件,將文件復(fù)制出來(lái)之后打開(kāi):
