CTF-综合靶场——RickdiculouslyEasy
实验环境:攻击者:Kali Linux(192.168.0.243)靶机:Oracle VM VirtualBox 6.1.16——Fedora(64-bit)(192.168.0.250)靶机下载链接:https://www.vulnhub.com/entry/rickdiculouslyeasy-1,207/导入环境打开VirtualBox,控制-新建,设置虚拟电脑的名称、存储位置、以及系统类
实验环境:
攻击者:Kali Linux(192.168.0.243)
靶机:Oracle VM VirtualBox 6.1.16——Fedora(64-bit)(192.168.0.250)
靶机下载链接:https://www.vulnhub.com/entry/rickdiculouslyeasy-1,207/
导入环境
-
打开VirtualBox,控制-新建,设置虚拟电脑的名称、存储位置、以及系统类型
-
点击下一步,设置运行内存
-
点击下一步,选择不创建虚拟硬盘
在弹出的提示框中选择继续 -
选择新创建的虚拟机,点击设置,找到存储,选择添加虚拟磁盘
-
选中要导入的磁盘文件,如果没有任何磁盘文件可选择的话,点击注册在文件系统中寻找要使用的虚拟磁盘文件即可。
实验流程:
-
启动靶机,信息探测。
检测与靶机的网络连通性
-
端口扫描,服务探测
命令:nmap 192.168.0.250 -p 1-65535
命令:nmap -A -v -T4 192.168.0.250 -p 1-65535
探测结果总结:21端口对应的ftp服务可能存在匿名访问的问题,并且在该目录下面存在一个flag;22端口和22222端口对应的都是ssh服务,可以进行远程连接;80端口和9090端口对应的都是web服务;在对13337端口的扫描过程中发现了第一个flag。 -
访问靶机上面的ftp服务,获取对应的flag
下载并查看该flag文件,获取到第二个flag
-
对大端口非Web服务,尝试使用nc探测改端口的banner信息
命令:nc IP地址 端口
在使用nc连接13337端口是获取到了第三个flag
使用nc远程连接靶机的60000端口,获取到了一个shell,权限为root用户,并且在当前目录找到了第四个flag
-
针对web服务,可以尝试使用nikto探测靶机上运行的web服务的详细信息
命令:nikto -host http://IP地址:端口
信息量比较大,这里就不完全显示了 -
针对于大端口的web服务,尝试使用浏览器访问页面并查看页面源代码寻找flag值
9090端口为该操作系统的web端的管理页面,在网页上面获取到了第五个flag -
尝试访问80端口的HTTP服务
-
查看页面源代码,同样没有收获,尝试进行目录扫描
命令:dirb http://192.168.0.250
对搜索到的目录进行访问
在http://192.168.0.250/passwords/目录下面找到第六个flag
-
在该目录下面有一个passwords.html,查看该文件
没有获取到有价值的信息,但是在源代码中获取到了一个密码:winter
访问网站下面的robots.txt文件查找敏感目录
对搜索到的敏感目录进行访问
-
该页面拥有一个命令执行功能,可能存在命令执行漏洞,尝试使用分号绕过限制
验证该页面确实存在命令执行漏洞,查看系统中可用的用户有哪些
使用cat命令查看该文件的时候并没有成功查看到结果,尝试使用more或者less查看
-
系统中存在三个普通用户可利用,尝试远程连接靶机的ssh服务,但是三个用户均不能成功连接。原因是靶机的22端口不允许连接;但是靶机开放了22222端口,该端口同样对应ssh服务,尝试连接靶机的22222端口。
命令:ssh -p 端口 用户名@IP地址
使用用户名为Summer,密码为winter成功远程连接靶机
在当前目录下面成功获取第七个flag;获取另外另个用户的文件
-
来到Morty用户的家目录,有两个文件,将这两个文件复制到Summer用户的家目录下面,使用Summer用户登录FTP服务并且下载这两个文件。
压缩文件解压时需要密码,先查看图片,图片的名称为Safe_Password.jpg,猜测其中存在密码。
图片上面并没有关于密码的内容,尝试使用记事本的方式打开该文件。
该压缩文件的密码为Meeseek,解压成功后获得一个文本文档,直接打开,获取第八个flag
该文件的大致意思就是,该文件中存储了一个保险箱的密码:131333 -
来到RickSanchez用户的家目录,该目录下面有一个RICKS_SAFE目录,译为Rick的保险箱。该目录下面有一个可执行文件safe(保险箱)。但是当前用户对于该文件没有执行权限。尝试将该文件移动到当前用户的家目录中并且赋予其执行权限。
尝试执行该文件,报错;通过报错信息猜测可能是执行该文件的时候需要参数。
尝试./safe AAAAAHHAHAGGGGRRGUMENTS,执行结果为乱码
重新来到RickSanchez用户家目录中,该目录下面还有另外一个目录,目录名直译过来是:“这绝对没有flag”;有些此地无银三百两的意思,来到该目录下面,有一个NOTFLAG.txt,查看该文件内容发现文件内容提示执行safe文件时需要的是一串经典的数字。
联想到获取到的保险箱的密码,突然醒悟:打开保险箱需要用到保险箱的密码。尝试./safe 131333;拿到flag
-
查看该文件的其余内容,大意为Ricks用户的密码提示:密码规则为一个大写字母、一个数字、还有一个以前乐队名字里面的一个词;另外还涉及到一个命令:sudo;即Ricks用户在wheel组中,有sudo权限。尝试进行对Ricks用户的密码进行爆破。
首先生成字典;寻找乐队名称,首先百度了Ricks用户的名称,只发现了这是动漫中的一个任务,没有和乐队相关的任何内容。
重新百度,同时百度三个人的名字
第一个链接同时含有三个人的名字,点进去,直接Ctrl+F搜索关键字“Band”。
拿到乐队名称:“The Flesh Curtains”,生成字典。
利用骨灰生成器生成一个组合字典
将乐队名称分为三部分写入带另外一个文件中
将两个密码字典进行组合
利用hydra进行爆破,得到该用户的登录密码为P7Curtains
-
尝试进行远程连接
登录成功,使用sudo命令切换至root用户权限
成功,获取第九个flag
更多推荐
所有评论(0)