vulnhub-d0not5top靶机渗透流程

本次靶机渗透流程参考已有wp：https://www.hackingarticles.in/hack-d0not5top-vm-ctf-challenge/
  
  

---

靶机概述

靶机地点：https://www.vulnhub.com/entry/d0not5top-12,191/

一共七个flag

---

一、前期扫描

确认靶机ip与开启服务、端口

---

二、网站扫描

开启了80端口，先扫下网站目次

东西真不少，先看看robots.txt和dirs.txt

在这俩文件中发现了更多路径，看robots.txt的提示似乎要修改USER-AGENT
访问后发现只有control下有东西，貌似是个dashboard

在该页面源码中发现第一个flag：FL46_1:urh8fu3i039rfoy254sx2xtrs5wc6767w，以及一段可疑的信息

信息中提到了D0Not5topMe.ctf，看上去就像个域名，团结页面的dns和扫描到53端口，大概率须要绑定域名
不过在那之前，这里还有个藏得很深的flag2，根据源码的跳转链接可以知道该路径下还存在js、css等子路径
访问/control/js，可以发现一个信息中提到的字眼MadBro的文件

点进去会看到加密后的flag

这个flag的数字部门经过了二进制编码，解密后得到第二个flag：FL46_2:39331r42q2svdfsxk9i13ry4f2srtr98h2，这里解密须要注意换行后按新的部门进行单独解码
README.MadBro页面中再次夸大了D0Not5topMe.ctf，很显着，我们下一步要进行域名绑定，但我们这里先按照flag的次序进行，而flag3与之前扫描到的25端口的smtp服务有关

---

三、smtp信息泄露

nc去连接25端口，返回了一串16进制加密的数据

xdd解密后得到第三个flag：FL46_3:29dryf67uheht2r1dd4qppuey474svxya

---

四、D0Not5topMe.ctf域名信息搜集

先进行域名绑定，再访问D0Not5topMe.ctf域名

这里不知道为啥我的真实机死活访问不上这个域名，换了几个欣赏器都不行。我试了下kali的才成功访问到

通过页面底部信息可以知道是phpBB站，尝试了大量已知漏洞进行验证均不成功。没办法，只能慢慢从源码中找信息
在点击了注册跳转到注册须知页面后，我在源码发现了一个可疑的路径FLaR6yF1nD3rZ_html

访问该路径就能看到认识的brainfuck加密

解密后得到第四个flag：FL46_4:n02bv1rx5se4560984eedchjs72hsusu9

回到注册页面，点击继承协议跳转到信息填写页面，在下方一个高亮的超链接可以看到一个邮箱地点mailto:Megusta@G4M35.ctf

此中邮箱地点的后半部门G4M35.ctf与域名很相似，推测是新的须要发掘的域名
至此D0Not5topMe.ctf域名探索完毕，这个部门大概看上去很难找到线索，但后续查看相关wp发现其实是有给出提示的，只不过英语水平太差没办法解读
可以看到主页这里有一条信息，摘抄如下：
Worka Suko Gameo Di Besto
emay ayingplay uchmay amesgay ownay egistrarioray arnay edsay emay emailway ayay egustomay otay indfay away eomay ideyhohay

这其实是一种Pig Latin，即英语中的儿童黑话，根据wp中给出的翻译，其英文原意为me playing much games now registrario rna sed me wemail a megusto to find wa meo hideyho
此中提到的registrario（注册）与wemail（邮件）正是这个域名下的flag所在和通往下一个域名的线索

---

五、G4M35.ctf域名信息搜集

先按照惯例把域名进行绑定

然后看看这个域名网站长什么样，是个3D的躲避障碍类游戏

虚拟机里玩卡得要死，照旧专心找找线索吧，网页源码中发现应该是游戏主程序的game.js路径

在game.js中发现可疑路径/H3x6L64m3

访问，又是个游戏，这次是看上去应该是个类雷电的弹幕游戏？

这里我重新看了下真实机的hosts文件，准备加G4M35.ctf域名试试能不能正常访问，结果发现原来上个域名绑定后访问不到是因为把192.168.7.164输成了192168.7.164，给我自己都逗笑了

改好后访问http://g4m35.ctf/H3x6L64m3/，发现没法正常开始游戏，照旧得看源码

源码中发现了两个重要线索，一个提示我们追踪texture，另一个则是游戏主文件Gameplay.js的路径

猜想texture是路径，试试访问

没有？加个s呢

这里面一堆图片，感觉这游戏应该是能玩的，大概没加载出来
在某个素材图片中发现一段八进制加密信息:106 114 64 66 137 65 72 60 71 153 70 67 150 66 147 64 145 62 65 147 150 64 64 167 141 61 162 171 142 171 146 151 70 71 70 150 156 143 144 164

cyberchef解密后得到第五个flag：FL46_5:09k87h6g4e25gh44wa1rybyfi898hncdt

接着来看看游戏主文件，我已经发现了域名的规则都是.ctf结尾，果不其然发现第三个域名t3rm1n4l.ctf

---

六、t3rmln4l.ctf域名信息搜集

绑定域名后访问，是个网页的终端界面

提示须要暗码进行认证，尝试了下发现域名t3rmln4l.ctf便是认证暗码

认证通过后发现很多命令不可用，且实验一次非法命令后须要重新认证

一个个测试太麻烦。用burp抓包后对command进行模糊测试

根据结果可以看到uname、id、pwd和grep命令可使用

那试试grep能看到什么，输入grep *，发现新域名M36u574.ctf

---

七、M36u574.ctf域名信息搜集

这是我绑的域名最多的一个靶机了

进去之后是一堆精污鬼图的循环播放

选取页面元素可以看到鬼图的存放路径在images下

不过我们没办法直接访问到images文件夹一览图片

返回首页一张张看元素，发现个名字不太一样的，其他的图片名格式都是megusta00x.jpg，这张却叫kingmegusta.jpg

直接去images下找到并下下来

file命令看下这个图片的信息，发现一串base64密文

解密后得到一个雷同/etc/shadow的linux用户暗码的加密组

用john破解得到MeGustaKing:**********的组合，此处指定rockyou字典会快很多

---

八、MeGustaKing用户信息搜集

ssh登入MeGustaKing用户

登进去无法实验任何命令就把我踢出来了，不过给了些信息，此中有段base64密文，破解一次后去掉前后的乱码部门再进行一次base64解密得到第六个flag：FL46_6:pqpd2jfn4ruq1obyv3thw848te67tejey

再回过去看之前给的信息，发现提供了另一个用户名burtieo

用hydra对burtieo用户进行爆破
得到暗码Lets you update your FunNotes and more!，幽默的是其实这个暗码在登录信息里也有，但我着实不觉得有多少人能一下子想到这么长一段话是暗码

---

九、rbash逃逸

登录burtieo用户，输入命令发现是在rbash环境

rbash环境会限制我们使用的命令，有很多种逃逸方法，这里我是利用bash_cmds自界说shell导出到环境变量来完成逃逸的

1. BASH_CMDS[a]=/bin/sh;a
2. export PATH=$PATH:/bin/
3. export PATH=$PATH:/usr/bin

复制代码

---

十、sudo命令导致的高危端口漏洞利用

sudo -l看看，发现NOPASSWD命令/usr/bin/wmstrt

因为没有strings命令看不出调用了什么其他命令或者库，直接sudo运行下试试

该命令实验后会显示将会有20秒的时间，接着开始倒数，归零后显示一段话，大意为你抓住时机了吗
这里我思考了好一会儿，20s的时间限制会是什么，答案是端口/服务的开启时间，这个命令很大概是开启某个端口20秒钟，因此后台准备好nmap后sudo实验命令，在显示提示信息后立刻开始扫描

果然多出了一个端口，10000，这个端口一般是webmin服务，msf中有相关的漏洞利用
这里用长途文件读取的利用脚本，设定好参数后再次sudo实验命令，在出现提示信息后立刻实验脚本

失败了，查看报错应该是要开启ssl参数，重新设置后再来一遍

成功读取到/etc/passwd，那接下来试试能不能读到/etc/shadow和/root/.ssh/id_rsa

两次尝试都成功了！那这里我们可以选择john破解root暗码或者john破解id_rsa暗码，我这里选择了更快的破解id_rsa文件

---

十一、root可实验文件的信息泄露利用

使用id_rsa和认证码gustateamo登录，这里一开始没成功，新建config文件后添加继承以 ssh-rsa 格式签名的公钥进行身份验证的配置后成功登录

发现FL461N51D3文件，但是二进制可实验文件，且没有strings命令可以查看

直接运行FL461N51D3文件提示错误密钥，还有个000权限的perl文件L45T_fl46.pl可以查看下

看了下，大致是一个雷同反弹shell的连接命令，会将验证后FL461N51D3文件的输出显示到连接端
那nc监听端口后运行该命令指定ip与端口，即可得到最后的第七个flag：FL46_7:9tjt86evvcywuuf774hr88eui3nus8dlk

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。