HA: SHERLOCK 靶机渗透取证
HA: SHERLOCK 靶机渗透取证
靶机描述:
DescriptionHA: Sherlock! This lab is based on the famous investigator’s journey on solving the Curious Case of Harshit's murder!This is a Forensic based Capture-the-Flag and is not a Boot-to-RootSo, put on your thinking caps and get ready to solve the case by finding the evidences bearing points. There is a total of 100 points scattered over the labObjective: Find all 100 points (Getting Root is not the objective)Disclaimer: This machine works on VMWare. There might be IP related issues with Virtual Box.
靶机下载链接:https://www.vulnhub.com/entry/ha-sherlock,580/
环境部署
靶机:使用 VMware 打开上述网址下载的 ova 靶机文件
使用机:VMware 下的 Kali-Linux-2021.2-vmware-amd64、win10
(使用机与靶机在同一网络环境内)
主机发现
网络扫描
因为靶机与使用机在同一网络环境下,使用 kali 自带工具进行扫描发现靶机 ip、MAC 地址
netdiscover
端口扫描
使用 nmap 的 -A 参数进行综合扫描
nmap -A 192.168.8.106
发现其开放的端口及服务:
21-ftp 22-ssh 25-stmp
80-http 110-pop3 143-imap
993-ssl/imap 995-ssl/pop3
获得100分
0 + 15 pionts
(根据端口进行接入)
访问 80 端口查看信息
可以发现靶机的来龙去脉
查看源码
发现底部有段注释,隐藏了信息:
寻找 .mp4 文件
因为上边提到了两个名字,根据上边的 .mp4 提示访问 http://192.168.8.106/irene.mp4
发现是一只迷之生物打哈欠,未发现其他信息
尝试连接 22-ssh
连接发现提示信息和莫斯电码:
莫斯电码解密
使用在线或者其他工具进行莫斯电码解密得到明文:BASKERVILLE
下载 mp4 文件,使用 OurSecret 进行解密
根据上一步骤提示:BASKERVILLE 和 mp4 视频有关,访问刚才页面,下载视频;下载 OurSecret 解密软件解密
(OurSecret 是在 Windows 环境下安装的)
解密后得到 15_Points.txt 文件
15 + 10 points
pop3s 密码爆破
根据 http 网页上的名字:harshit 结合开启了 pip3s
我们尝试使用 hydra(九头蛇)工具进行爆破,字典使用 Kali 自带的 rockyou.txt,得到 harshit 密码 superman
hydra -l harshit -P /usr/share/wordlists/rockyou.txt 192.168.8.106 pop3s
登陆邮箱查看信息
使用上一步中获得的账密登陆邮箱:
openssl s_client -crlf -connect 192.168.8.106:110 -starttls pop3
user harshit
pass superman
retr 1 #查看第一封邮件
retr 2 #查看第二封
retr 3 #查看第三封
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6kk1JuM9-1634523042441)(https://p3.ssl.qhimg.com/t01e05a1b783f2e4416.png)]
翻译就是这样子:
可以看到,是恐吓邮件,提取其中关键词:
“May 27, 2020 11:02:09 AM”
epoch(语义奇怪)
看到了时间一般就会和时间戳有关系
时间戳转换
一、可以以 epoch time 为关键词在网上搜一下就能找到工具
填写相关信息得到时间戳:
二、UTC时间转换
做好信息收集的同学可以发现,该靶机的制作组人位于英国,英国的时间为 UTC+00:00
目录查看
以时间戳构造路径并访问: http://192.168.8.106/1590577329/ 发现 10_Points.txt 和 名为 john 的内存镜像
25 + 10 points
内存取证
使用 volatility 进行取证
1.提取内存镜像信息
python2 ./vol.py -f ~/Downloads/john.mem imageinfo
2.查看运行进程
python2 ./vol.py -f ~/Downloads/john.mem --profile=WinXPSP2x86 pslist
发现 notepad(记事本)进程
3.查看 notepad 内容
python2 ./vol.py -f ~/Downloads/john.mem --profile=WinXPSP2x86 notepad
发现 Thcgpune 尝试 ROT13 解密(就硬解,要不就构造密码本将常用加密都试一遍进行爆破)
ROT13:Guptchar
尝试连接 ftp
根据内存镜像名和上述 ROT13 明文尝试连接 ftp 服务
ftp 192.168.8.107 #这里因为网络原因靶机ip从106变成了107(个人情况)
john
Guptchar
ls
发现文件夹,cd 进入发现两个文件,分别是 10_Points.txt、mycroft.001
cd files
ls
使用 get 获取文件:
get 10_Points.txt
get mycroft.001
Ctrl+z #返回原kali shell
cat ./10_Points.txt
35 + 10 points
使用 autopsy 分析磁盘镜像
上一步我们发现了 mycroft.001 文件,001后缀一般是大文件分割成部分以 001、002、···,为后缀的小文件(常在分卷压缩中出现)。
这里可以把它当成不完整的磁盘镜像
使用 kali 自带工具 autopsy 进行分析磁盘镜像:
#该工具是网页交互工具
autopsy
访问 http://localhost:9999/autopsy 使用工具
创建新案例:
命名及其他信息:
添加镜像:add image -> add image file
这里的文件路径写你们的文件路径,因为文件不是完整的磁盘镜像因此选择 partition
加载文件:ANALYZE -> FILE ANALYSIS
在 Important 目录中发现 10_Points.txt、hint.jpg、mycroft.png
45 + 15 points
分析图片
查看上一步骤的 mycroft.png:
发现是一大串 16 进制代码,发现应该是地址,颜色花花绿绿的应该和颜色有关,其中有标红的转 16 进制为 22 应该代表 22 ssh 端口,绿色十六进制转字符串为 Khufiya(Khufiya在印地语中的意思是机密)可能是密码
尝试 ssh 连接
与之前一样,使用文件名作为用户名,Khufiya 为密码尝试登陆 ssh:
ssh mycroft@192.168.8.107
Khufiya
ls
cat 15_Points.txt
在该用户目录下发现 15_Points.txt、jim.wav
进行信息收集得到该机用户名如下:
60 + 15 points
scp 下载 jim.wav
scp mycroft@192.168.8.107:./jim.wav ./
分析 jim.wav
使用 audacity 分析 jim.wav 文件,查看频谱发现出现 deep sound 字样
使用 john 破解 hash
使用 john 自带 deepsound 脚本提取 hash 表进行爆破
/usr/share/john/deepsound2john.py jim.wav > hash #john脚本提取hash表
john --wordlist=/usr/share/wordlists/rockyou.txt hash #密码本破解hash
john hash --show #查看文件历史john解密结果(john相同文件第二次解密不显示,需使用该命令查看)
得到密码:poohbear(狗熊)
使用 deep sound 解密
将文件拖入 -> 使用密码解密 -> 提取文件 -> 打开文件所在目录
得到 15_Points.txt、creds.txt 再拿下 15 分
75 + 25 points
base64 解密
查看上一步的 creds.txt 文件,是一个 PGP 消息中间写入了一句 base64
解密 base64 得到明文:Bhediya
ssh 爆破
用 mycroft 用户登录时获得的用户名构造列表,用上一步解密结果作为密码,使用 msf 进行爆破登入:
msfconsole
use auxiliary/scanner/ssh/ssh_login #使用ssh login模块
set rhosts 192.168.8.107
set user_file ./user_file.txt #设置用户名表
set password Bhediya #设置密码
run
sessions 1
python3 -c "import pty;pty.spawn('/bin/bash')" #切换交互式shell
sudo -l #查看以sudo权限执行的命令(这里显示是所有命令都可以执行)
Bhediya #输入当前用户密码
sudo /bin/bash #以sudo权限开新shell
cd /root/
ls
HA: SHERLOCK 靶机渗透取证
靶机描述:
DescriptionHA: Sherlock! This lab is based on the famous investigator’s journey on solving the Curious Case of Harshit's murder!This is a Forensic based Capture-the-Flag and is not a Boot-to-RootSo, put on your thinking caps and get ready to solve the case by finding the evidences bearing points. There is a total of 100 points scattered over the labObjective: Find all 100 points (Getting Root is not the objective)Disclaimer: This machine works on VMWare. There might be IP related issues with Virtual Box.
靶机下载链接:https://www.vulnhub.com/entry/ha-sherlock,580/
环境部署
靶机:使用 VMware 打开上述网址下载的 ova 靶机文件
使用机:VMware 下的 Kali-Linux-2021.2-vmware-amd64、win10
(使用机与靶机在同一网络环境内)
主机发现
网络扫描
因为靶机与使用机在同一网络环境下,使用 kali 自带工具进行扫描发现靶机 ip、MAC 地址
netdiscover
端口扫描
使用 nmap 的 -A 参数进行综合扫描
nmap -A 192.168.8.106
发现其开放的端口及服务:
21-ftp 22-ssh 25-stmp
80-http 110-pop3 143-imap
993-ssl/imap 995-ssl/pop3
获得100分
0 + 15 pionts
(根据端口进行接入)
访问 80 端口查看信息
可以发现靶机的来龙去脉
查看源码
发现底部有段注释,隐藏了信息:
寻找 .mp4 文件
因为上边提到了两个名字,根据上边的 .mp4 提示访问 http://192.168.8.106/irene.mp4
发现是一只迷之生物打哈欠,未发现其他信息
尝试连接 22-ssh
连接发现提示信息和莫斯电码:
莫斯电码解密
使用在线或者其他工具进行莫斯电码解密得到明文:BASKERVILLE
下载 mp4 文件,使用 OurSecret 进行解密
根据上一步骤提示:BASKERVILLE 和 mp4 视频有关,访问刚才页面,下载视频;下载 OurSecret 解密软件解密
(OurSecret 是在 Windows 环境下安装的)
解密后得到 15_Points.txt 文件
15 + 10 points
pop3s 密码爆破
根据 http 网页上的名字:harshit 结合开启了 pip3s
我们尝试使用 hydra(九头蛇)工具进行爆破,字典使用 Kali 自带的 rockyou.txt,得到 harshit 密码 superman
hydra -l harshit -P /usr/share/wordlists/rockyou.txt 192.168.8.106 pop3s
登陆邮箱查看信息
使用上一步中获得的账密登陆邮箱:
openssl s_client -crlf -connect 192.168.8.106:110 -starttls pop3
user harshit
pass superman
retr 1 #查看第一封邮件
retr 2 #查看第二封
retr 3 #查看第三封
翻译就是这样子:
可以看到,是恐吓邮件,提取其中关键词:
“May 27, 2020 11:02:09 AM”
epoch(语义奇怪)
看到了时间一般就会和时间戳有关系
时间戳转换
一、可以以 epoch time 为关键词在网上搜一下就能找到工具
填写相关信息得到时间戳:
二、UTC时间转换
做好信息收集的同学可以发现,该靶机的制作组人位于英国,英国的时间为 UTC+00:00
目录查看
以时间戳构造路径并访问: http://192.168.8.106/1590577329/ 发现 10_Points.txt 和 名为 john 的内存镜像
25 + 10 points
内存取证
使用 volatility 进行取证
1.提取内存镜像信息
python2 ./vol.py -f ~/Downloads/john.mem imageinfo
2.查看运行进程
python2 ./vol.py -f ~/Downloads/john.mem --profile=WinXPSP2x86 pslist
发现 notepad(记事本)进程
3.查看 notepad 内容
python2 ./vol.py -f ~/Downloads/john.mem --profile=WinXPSP2x86 notepad
发现 Thcgpune 尝试 ROT13 解密(就硬解,要不就构造密码本将常用加密都试一遍进行爆破)
ROT13:Guptchar
尝试连接 ftp
根据内存镜像名和上述 ROT13 明文尝试连接 ftp 服务
ftp 192.168.8.107 #这里因为网络原因靶机ip从106变成了107(个人情况)
john
Guptchar
ls
发现文件夹,cd 进入发现两个文件,分别是 10_Points.txt、mycroft.001
cd files
ls
使用 get 获取文件:
get 10_Points.txt
get mycroft.001
Ctrl+z #返回原kali shell
cat ./10_Points.txt
35 + 10 points
使用 autopsy 分析磁盘镜像
上一步我们发现了 mycroft.001 文件,001后缀一般是大文件分割成部分以 001、002、···,为后缀的小文件(常在分卷压缩中出现)。
这里可以把它当成不完整的磁盘镜像
使用 kali 自带工具 autopsy 进行分析磁盘镜像:
#该工具是网页交互工具
autopsy
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BTbofqB1-1634523043756)(https://p1.ssl.qhimg.com/t01d7b38c5543cd19e7.png)]
访问 http://localhost:9999/autopsy 使用工具
创建新案例:
命名及其他信息:
添加镜像:add image -> add image file
这里的文件路径写你们的文件路径,因为文件不是完整的磁盘镜像因此选择 partition
加载文件:ANALYZE -> FILE ANALYSIS
在 Important 目录中发现 10_Points.txt、hint.jpg、mycroft.png
45 + 15 points
分析图片
查看上一步骤的 mycroft.png:
发现是一大串 16 进制代码,发现应该是地址,颜色花花绿绿的应该和颜色有关,其中有标红的转 16 进制为 22 应该代表 22 ssh 端口,绿色十六进制转字符串为 Khufiya(Khufiya在印地语中的意思是机密)可能是密码
尝试 ssh 连接
与之前一样,使用文件名作为用户名,Khufiya 为密码尝试登陆 ssh:
ssh mycroft@192.168.8.107
Khufiya
ls
cat 15_Points.txt
在该用户目录下发现 15_Points.txt、jim.wav
进行信息收集得到该机用户名如下:
60 + 15 points
scp 下载 jim.wav
scp mycroft@192.168.8.107:./jim.wav ./
分析 jim.wav
使用 audacity 分析 jim.wav 文件,查看频谱发现出现 deep sound 字样
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uROOQHjr-1634523043770)(https://p3.ssl.qhimg.com/t01995e613ac91bb485.png)]
使用 john 破解 hash
使用 john 自带 deepsound 脚本提取 hash 表进行爆破
/usr/share/john/deepsound2john.py jim.wav > hash #john脚本提取hash表
john --wordlist=/usr/share/wordlists/rockyou.txt hash #密码本破解hash
john hash --show #查看文件历史john解密结果(john相同文件第二次解密不显示,需使用该命令查看)
得到密码:poohbear(狗熊)
使用 deep sound 解密
将文件拖入 -> 使用密码解密 -> 提取文件 -> 打开文件所在目录
得到 15_Points.txt、creds.txt 再拿下 15 分
75 + 25 points
base64 解密
查看上一步的 creds.txt 文件,是一个 PGP 消息中间写入了一句 base64
解密 base64 得到明文:Bhediya
ssh 爆破
用 mycroft 用户登录时获得的用户名构造列表,用上一步解密结果作为密码,使用 msf 进行爆破登入:
msfconsole
use auxiliary/scanner/ssh/ssh_login #使用ssh login模块
set rhosts 192.168.8.107
set user_file ./user_file.txt #设置用户名表
set password Bhediya #设置密码
run
sessions 1
python3 -c "import pty;pty.spawn('/bin/bash')" #切换交互式shell
sudo -l #查看以sudo权限执行的命令(这里显示是所有命令都可以执行)
Bhediya #输入当前用户密码
sudo /bin/bash #以sudo权限开新shell
cd /root/
ls
HA: SHERLOCK 靶机渗透取证相关推荐
- HA: Forensics靶机渗透测试
文章目录 靶机说明: 一.信息收集 1.主机发现 2.端口扫描 二.漏洞挖掘 1.访问靶机 web 服务 2.使用 dirb 进行目录扫描 3.使用 exiftool 提取数据 4.使用 dirb 扫 ...
- HA: InfinityStones靶机渗透测试
文章目录 靶机信息 一.信息收集 1.主机发现 2.端口扫描 3.目录扫描 二.漏洞挖掘 1.访问 192.168.1.108 2.访问 /img 目录 3.访问 https 服务(443)端口 4. ...
- HA: Dhanush靶机渗透测试
文章目录 一.信息收集 1.主机发现 2.端口扫描 3.查看 web 服务 二.漏洞挖掘 1.使用 cewl 生成字典 2.使用 hydra 进行爆破 3.ssh 连接 4.尝试 sudo 提权 靶机 ...
- [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...
- [HTB]“Heist”靶机渗透详细思路
今天我们来看一下hackthebox里的一个靶机"Heist",直接开始渗透. 一.信息搜集 先打开网站看看.是一个登陆框,使用弱口令和注入都无果.在网页中发现了 login as ...
- [网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施.这篇文章将讲 ...
- 【渗透测试】靶机渗透Vulnhub-bulldog
目录 前言 一.bulldog靶机安装 二.bulldog靶机渗透 1.信息搜集 2.Web渗透--后台登录 3.Web渗透--命令注入&nc反弹shell 4.权限提升 渗透步骤回顾 感悟 ...
- 靶机渗透【bulldog】
文章目录 *一. bulldog靶机安装* 1. 下载bulldog 2. 开启bulldog *二. bulldog靶机渗透* 1. 信息收集 2. Web渗透 3. 命令注入&nc反弹sh ...
- Bulldog靶机渗透
Bulldog靶机渗透 1. 获取地址IP,确定靶机IP是192.168.119.134 2.扫描目标主机信息 3.爆破目标主机目录 4.通过翻译得知这个网页是给承包商看的 5.查看网页的源码,查找有 ...
最新文章
- 当手机淘宝遇见海尔电商
- 第九周项目实践3 利用二叉树遍历思想解决问题
- 计算机MCI风险快速筛查系统,轻度认知障碍风险快速筛查工具的测算过程及判别效果分析...
- 《PHP综合开发环境》(NuSphere PhpED v5.6.5615 Win32)[压缩包]
- MSDN Visual系列:在WSSv3中编程方式激活单个文档库的审核功能
- php poi,GitHub - satthi/poi-php: poi-php
- docker-conpose 入门
- 【MySQL】命令行遇到 ‘> 而无法结束语句编辑的解决方案
- (35)VHDL实现JK触发器
- 创意合成大片欣赏,进步都是从模仿开始
- 小学数学开灯问题_【数学攻略】小学四年级数学“相遇问题”全普及
- 关于安装office软件时和visio软件冲突
- Rasa对话机器人连载一 第121课:Rasa对话机器人Debugging项目实战之电商零售对话机器人运行流程调试全程演示-1
- 分析下这个LC振荡电路图
- demo:用matlab app designer做一个简易app
- godaddy 域名转向指南
- C1任务01 植物大战僵尸存档修改
- js 无害化_道德第一无害
- 关于STM32的Flash使用规划以及程序设计(以f407ZGT6为例)
- 即构科技廖念波:构建产品矩阵,加快音视频技术全面开花