内容简介:电影《Catch MeIf You Can》的中译名是《猫鼠游戏》,《猫鼠游戏》是一部好莱坞罕见的犯罪传记题材影片,其以独特的视角重新演绎了社会工程学诈骗的诸多手段令人称赞。本次靶机的主题也是来源于此,作者在靶机中以{MD5 Hash}的形式放置了8个flag,我们的目标就是拿到这八个flag,下面是作者给出的八个flag的提示信息:
前言
电影《Catch MeIf You Can》的中译名是《猫鼠游戏》,《猫鼠游戏》是一部好莱坞罕见的犯罪传记题材影片,其以独特的视角重新演绎了社会工程学诈骗的诸多手段令人称赞。
本次靶机的主题也是来源于此,作者在靶机中以{MD5 Hash}的形式放置了8个flag,我们的目标就是拿到这八个flag,下面是作者给出的八个flag的提示信息:
描述
难度:初级&中级
下载地址: https://download.vulnhub.com/skydog/SkyDogConCTF2016VBoxV10.ova
安装说明:我使用的是VMware,导入ova文件,因为靶机已经配置了DHCP,所以NAT方式连接后靶机自动获取IP。
信息收集
话不多说,开始搞它!
靶机IP:192.168.23.129
攻击机IP:192.168.23.128
存活主机探测
用nmap探测本网段存活主机 nmap -r 192.168.23.0/24
探测到192.168.23.129(靶机)存活
端口探测
nmap -u 192.168.23.129
可以看到开放了80和443端口
Flag#1
尝试访问该web站点:
右键查看页面源代码:
在源码注释中找到隐藏路径 http://192.168.23.129/oldIE/html5.js
在js文件的注释中找到奇怪的字符串:666c61677b37633031333230373061306566373164353432363633653964633166356465657d。该字符串中存在数字、字母,并且字母范围在“a-f”之间,并且题设提示:
将字符串进行转码果然得到第一个flag。
Flag#1{7c0132070a0ef71d542663e9dc1f5dee}
Flag#2
对flag#1内容进行MD5解密,所给的线索是nmap:
用 nmap -p-192.168.23.129 对所有端口进行更完整的扫描。
根据nmap扫描端口的结果,我们发现在22端口的ssh服务关闭,但是在22222端口上开放了OpenSSH的服务,通过 ssh 192.168.23.129 -p 22222 尝试连接,在回显信息中拿到第二个flag。 Flag#2{53c82eba31f6d416f331de9162ebe997}
Flag#3
对flag#2内容进行MD5解密,获取线索“加密”
根据题设,Flag#3的关键字是“拦截”
再联想http采用80端口与Web服务器通信,无加密措施易被拦截、值入非法内容;https采用443端口同第三方安全公司发生的SSL证书加密与Web服务器通信,有效防止拦截、信自安全加密传输。用https协议对网站进行访问:
查看该站点的证书信息:
得到第三个flag。 Flag#3{f82366a9ddc064585d54e3f78bde3221}
Flag#4
对flag#3内容进行MD5解密,获取线索“personnel”
完全与题设不搭,感觉应该是目录,尝试访问该路径 http://192.168.23.129/personnel ,得到回显信息
根据题设,Flag#4的关键字是“代理”
结合之前找到的html5.js文件,搜索关键字“FBI”,发现如下信息
还有一个[email protected]像是一个邮箱,感觉应该有用,先放在这里猜测题目要求是通过burp修改用户代理User Agent使用IE4访问
点击forward放过数据包,成功伪造,得到第四个flag。 Flag#4{14e10d570047667f904261e6d08f520f}
并且在页面下方获取新线索:“clue=new+flag”
Flag#5
对flag#4内容进行MD5解密,获取线索“evidence”
通过提供的两个线索,猜测newevidence是一个目录,尝试访问 http://192.168.23.129/newevidence 确实是个目录。
需要FBI才能登陆(此处与上一关有异曲同工之妙,还是需要修改用户代理),除此之外,我们需要知道用户名和密码。
而在第一关的html5.js文件中发现了一个邮箱:[email protected]即用户名的构成是:名字.姓氏(并且都是小写)。
而我们在上一关登陆 http://192.168.23.129/personnel/ 页面显示:
Welcome Agent Hanratty。
感觉这个 Agent Hanratty 应该是一个人,于是问一下度娘
得到这个FBI探员的名字是:Carl Hanratty
所以用户名应该是:carl.hanratty
密码没有提示,只能用burp进行爆破
抓包后发现用户名密码是base64加密,解密查看提交的格式
一共分为三个部分:用户名:密码
根据给出的格式构造payload(此处爆破介绍较为详细,大佬请略过)
Payload type选择Custom iterator自定义迭代器
我们一个一个来设置,我们先设置自定义迭代器的第一组payload,设置为账号:
第二组payload只有一个值,就是冒号(注意中英文格式)
第三组为密码,导入爆破字典
现在三组payload都设置好了,还有最后最重要的一步:base64加密。
在Payload Processing中点击add添加相应的加密就可以
根据实际情况调整线程,最后点击Start Attack开始攻击即可。
爆破了一会,出现状态码301
解密得到密码:Grace
登录成功界面:
点击“Evidence Summary File”,得到第五个flag。 Flag#5{117c240d49f54096413dd64280399ea9}
同时我们还在登陆后的页面下载到了两个文件
一个是PDF:Invoice.pdf;一个是JPG:image.jpg
Flag#6
对flag#5内容进行MD5解密,获取线索“panam”
推测可能是目录,或者登录用户名或者密码,尝试访问目录:
发现不是目录,再看一下题设
似乎没有什么灵感,现在我们唯一可以利用的就是上个flag获得的newevidence.jpg跟Invoice.pdf。先看一下这个PDF,首先看了看PDF的属性,并没有发现什么特别的,就打开这个文件,想看看内容有没有什么线索。
我认为比较有用的都已经标出来了,最后度娘告诉我文档中Stefan Hetzl是一个Steghide的作者,而Steghide是一个可以在图像,音频中隐藏数据的小工具,正好可以联系到我们的图片上
我们利用Steghide工具来剖析这张图片 steghide extract -sf image.jpg
(Steghide使用详解: https://blog.csdn.net/Jeanphorn/article/details/45034859 )
还需要密码,这个时候我想到了上一关解出的线索“panam”
找到了隐藏了flag.txt
打开txt找到第六个flag。 Flag#6{d1e5146b171928731385eb7ea38c37b8}
Flag#7
MD5解密flag#6,获取线索“ILoveFrance”(其实文件中已给出明文)
同时这个文本里面还给了我们新的线索:iheartbrenda
常规套路推测可能是目录,或者登录用户名或者密码,尝试访问目录:
发现不是目录,再看一下题设
翻译:弗兰克被摄像机拍到,大喊大叫,我是活着的最快的人!
弗兰克为什么大喊大叫这句话,果然度娘还是强大的,发现弗兰克大叫的这句“I’m The Fastest Man Alive!”来自于闪电侠
这句话完整的是:My name is Barry Allen and I am the fastest man alive when I was achild , I saw my mother killed by …
现在使用发现的口令的唯一地方就是SSH,所以尝试登陆去连接SSH,而用户名正好可以用那句话里的name:barryallen
ssh [email protected] 22222
密码的话根据现有的线索,不是IloveFrance,就是iheartbrenda,试一下就好了(悄悄告诉你密码是iheartbrenda)。
好不容易登录成功,先看一下有哪些文件呗。
很顺利的拿到了第七个flag。 Flag#7{bd2f6a1d5242c962a05619c56fa47ba6}
Flag#8
对flag#7内容进行MD5解密,获取线索“theflash”
还有在上一关我们flag的目录下有一个security-system.data的文件,推测最后一关应该是和这个文件有关了。
执行如下命令,将文件下载到本地文件夹
scp -P [email protected]:/home/barryallen/security-system.data ~/文档
我们先用kali linux自带的binwalk工具分析一下这个文件,发现是个zip文件
想要解压压缩文件,必须要把这个文件转成zip文件
mv security-system.datasecurity-system.zip
然后使用unzip命令来解压这个zip文件
解压出来看一下文件名security-system.data 翻译为安全系统数据
再看一下首页给的题设关键字应该是memory(内存)
所以猜测这个文件可能是一台机器的内存映像,接下来可以使用Volatility来进行电子取证。
(Volatility介绍及用法:
https://www.anquanke.com/post/id/86036
https://blog.csdn.net/kevinhanser/article/details/80013033
https://tools.kali.org/forensics/volatility )
首先查看一下文件信息:
volatility -fsecurity-system.data imageinfo
发现了一些有用的数据,继续用volatility进行挖掘
查看历史命令 volatility-f security-system.data –profile=WinXPSP2x86 cmdscan
发现写入了code.txt一些字符串,对这些字符串进行解码
获得第八个flag。 Flag#8{841dd3db29b0fbbd89c7b5be768cdc81}
都拿到flag了,解密一下吧
两只小老鼠???好吧 至此分享结束。
总结
这个靶机难度的定位虽然是中低级,但是对于我这种小菜鸟来说还是有一定难度的,在渗透过程中会遇到很多坑,例如在猜解密码的时候用到了好多社工,还有必须在burp中修改为IE4的代理,还有burp的加密爆破,还有volatility工具的应用等等。渗透路漫漫,道阻且艰,加油啊!!!
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 渗透测试实战-Blacklight靶机+DeRPnStiNK靶机入侵
- 渗透测试实战-eric靶机+HackInOS靶机入侵
- 渗透测试实战-lin.security靶机+Goldeneye靶机入侵
- 渗透测试实战-ROP靶机PWN+SolidState靶机入侵
- 渗透测试实战——unknowndevice64-1靶机+Moonraker靶机入侵
- Cyberry靶机渗透测试
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Mathematica Cookbook
Sal Mangano / O'Reilly Media / 2009 / GBP 51.99
As the leading software application for symbolic mathematics, Mathematica is standard in many environments that rely on math, such as science, engineering, financial analysis, software development, an......一起来看看 《Mathematica Cookbook》 这本书的介绍吧!
XML 在线格式化
在线 XML 格式化压缩工具
RGB CMYK 转换工具
RGB CMYK 互转工具